ב-27 במאי, פלטפורמת הפיננסים המבוזרים Stake DAO ספגה מתקפת ניצול מסוג הטבעה אינסופית בפרוטוקול שלה על גבי Arbitrum. עם זאת, התורמים המרכזיים של Stake DAO אבטחו במהירות את כספי המייננט התומכים באסימונים, השביתו את גשר ה-vsdCRV והצליחו לבלום את הניצול.
סטייק DAO מקפיאה את שווקי Arbitrum של vsdCRV לאחר שתוקף טבע 5.4 טריליון טוקנים סינתטיים
נכתב ע"י
שתף
עיקרי הדברים
- Stake DAO ספגה מתקפת הטבעה אינסופית על Arbitrum ב-27 במאי, שלפי הדיווחים אפשרה לתוקף לרוקן 91,000 דולר בנכסים דיגיטליים.
- הפריצה מלבה דיון ויראלי על אבטחת DeFi, שהוצת על ידי מייסד-שותף של Openzeppelin, מנואל אראאוס.
- Stake DAO מסיימת בהדרגה את שוק ה-Llamalend של Arbitrum asdCRV ופועלת בשיתוף עם גורמי אכיפת החוק.
פרצה בהטבעה אינסופית מפעילה מתקפת ניצול
פלטפורמת הפיננסים המבוזרים (DeFi) Stake DAO אישרה ב-27 במאי כי הפרוטוקול שלה ברשת השכבה-2 Arbitrum היה יעד למתקפת ניצול, שאפשרה לגורם לא מורשה להטביע בזדון טריליוני אסימונים סינתטיים. לפי ממצאים ראשוניים של חברת אבטחת הבלוקצ’יין Blockaid, התוקף ניצל פגיעות של הטבעה אינסופית הקשורה ללוגיקת הכספת vsdCRV של Stake DAO ולמערכת חלוקת התגמולים האוטומטית.
החוזה קיבל מעבר מצב לא תקין, מה שהוביל לכשל חמור בניהול החשבונות הפנימי. פרצה זו אפשרה לתוקף לנפח את היצע ה-vsdCRV ב-5.4 טריליון יחידות. חלק מהדיווחים מציינים כי התוקף הצליח לרוקן כ-91,000 דולר בנכסים דיגיטליים הניתנים להעברה ממאגרי הנזילות שנפגעו, לפני שהבעיה זוהתה ונעצרה.
התורמים המרכזיים של Stake DAO פעלו במהירות כדי לצמצם נזק נוסף, והודיעו כי הצליחו לאבטח את הגיבוי ל-vsdCRV במייננט של את’ריום. בשל הבלימה המהירה, גורמי הפרוטוקול אישרו שלא ניתן לתפוס כספי מייננט על ידי התוקף. בנוסף, הצוות השבית את גשר ה-vsdCRV, ובכך הגביל בהצלחה את ההשפעה הכלכלית של הניצול לאקוסיסטם של Arbitrum.
“על בסיס ההערכה הנוכחית שלנו, תשואות Boosted, Liquid Lockers, Votemarket והלוואות Stake DAO על Morpho לא הושפעו,” מסרה Stake DAO בהצהרה שפורסמה באמצעות פלטפורמת המדיה החברתית X.
הפרוטוקול ציין, עם זאת, ששוק ה-Arbitrum asdCRV Llamalend נסגר לצמיתות בעקבות האירוע. Stake DAO ייעצה למשתמשים שלא לבצע אינטראקציה עם חוזי vsdCRV וקוראת למפקידים של crvUSD להעביר את הונם לשווקי Llamalend חלופיים שלא הושפעו.
צומת עדין עבור אבטחת DeFi
רשויות אכיפת החוק עודכנו, ו-Stake DAO מסרה שהיא משתפת פעולה עם שותפי אבטחה חיצוניים כדי לעקוב אחר זרימת הנכסים שנגנבו ולבצע ביקורת פורנזית מקיפה של החוזים החכמים שנפגעו.
עיתוי האירוע מגיע כאשר אקוסיסטם ה-DeFi הרחב מנסה להדוף תזה ויראלית שזכתה לפופולריות על ידי מייסד-שותף של Openzeppelin, מנואל אראאוס, שטען לאחרונה כי “כל ה-DeFi אינו בטוח.” ההערכה הקודרת של אראאוס היממה משתתפים בתעשייה, וכפתה חשבון נפש בתוך מגזר שכבר מותש מגל של מתקפות ניצול על פרוטוקולים ופגיעויות מבניות. מתקפת Stake DAO מדגישה את התזה של אראאוס ומסבכת את מאמצי התעשייה להשיב אמון מוסדי וקמעונאי.
התזה הובילה את Openzeppelin לפרסם הצהרה המתרחקת מאראאוס, שלדברי החברה עזב את הארגון בשנת 2019. Openzeppelin התייחסה גם לחששות המרכזיים שהעלה אראאוס, והכירה בכך שלמרות שבינה מלאכותית היא וקטור איום ממשי, היא גם כלי הגנתי רב-עוצמה כאשר משתמשים בה “בקפדנות ובשיקול דעת אנושי מומחה.”
“החוקרים שלנו משתמשים ב-AI מדי יום כדי לאתר יותר בעיות ומקרי קצה,” אמרה Openzeppelin בהצהרה. “התשובה לסיכון של AI אינה נסיגה מ-DeFi. היא אבטחה טובה יותר.”
בהתייחסה לגל האחרון של אירועי האבטחה, Openzeppelin התעקשה שרבים מהם ניתן לייחס לכשלים באבטחה תפעולית, ולא לבאגים בחוזים חכמים.
