हमलावर द्वारा 5.4T सिंथेटिक टोकन मिंट करने के बाद स्टेक DAO ने आर्बिट्रम vsdCRV मार्केट्स को फ्रीज़ कर दिया।

अनंत-मिंटिंग की खामी ने एक्सप्लॉइट को बढ़ावा दिया

विकेंद्रीकृत वित्त (DeFi), प्लेटफॉर्म स्टेक डीएओ ने 27 मई को पुष्टि की कि Arbitrum लेयर-2 नेटवर्क पर इसके प्रोटोकॉल को एक एक्सप्लॉइट का निशाना बनाया गया था, जिससे एक अनधिकृत पार्टी को दुर्भावनापूर्ण रूप से ट्रिलियन की संख्या में सिंथेटिक टोकन मिंट करने की अनुमति मिली। ब्लॉकचेन सुरक्षा फर्म ब्लोकाइड के प्रारंभिक निष्कर्षों के अनुसार, हमलावर ने स्टेक डीएओ के vsdCRV वॉल्ट लॉजिक और स्वचालित पुरस्कार वितरण प्रणाली से जुड़ी एक अनंत-मिंटिंग भेद्यता का फायदा उठाया।

कॉन्ट्रैक्ट ने एक अमान्य स्टेट ट्रांज़िशन को स्वीकार कर लिया, जिससे एक गंभीर आंतरिक लेखांकन विफलता हुई। इस खामी ने हमलावर को vsdCRV की आपूर्ति को 5.4 ट्रिलियन यूनिट से बढ़ाने की अनुमति दी। कुछ रिपोर्टों से पता चलता है कि इस मुद्दे की पहचान और रोकथाम से पहले, हमलावर प्रभावित लिक्विडिटी पूल्स से लगभग $91,000 मूल्य के हस्तांतरणीय डिजिटल संपत्ति निकालने में सक्षम था।

स्टेक डीएओ के मुख्य योगदानकर्ताओं ने आगे के नुकसान को कम करने के लिए तेजी से कदम उठाए, यह घोषणा करते हुए कि उन्होंने एथेरियम मेननेट पर vsdCRV बैकिंग को सफलतापूर्वक सुरक्षित कर लिया है। तेजी से नियंत्रण के कारण, प्रोटोकॉल अधिकारियों ने पुष्टि की कि हमलावर द्वारा मेननेट के किसी भी फंड को जब्त नहीं किया जा सकता है। इसके अतिरिक्त, टीम ने vsdCRV ब्रिज को निष्क्रिय कर दिया, जिससे शोषण (exploit) के आर्थिक प्रभाव को सफलतापूर्वक आर्बिट्रम इकोसिस्टम तक सीमित कर दिया गया।

स्टेक डीएओ ने सोशल मीडिया प्लेटफॉर्म एक्स पर साझा किए गए एक बयान में कहा, "हमारे वर्तमान मूल्यांकन के आधार पर, मॉर्फो पर बूस्टेड यील्ड्स, लिक्विड लॉकर्स, वोटोमार्केट और स्टेक डीएओ लेंडिंग अप्रभावित हैं।"

हालांकि, प्रोटोकॉल ने कहा कि इस घटना के मद्देनजर Arbitrum asdCRV Llamalend मार्केट को स्थायी रूप से बंद किया जा रहा है। स्टेक डीएओ ने उपयोगकर्ताओं को vsdCRV कॉन्ट्रैक्ट्स के साथ इंटरैक्ट न करने की सलाह दी है और crvUSD जमाकर्ताओं से अपने पूंजी को वैकल्पिक, अप्रभावित Llamalend मार्केट में स्थानांतरित करने का आग्रह कर रहा है।

DeFi सुरक्षा के लिए एक अस्थिर दौर

कानून प्रवर्तन एजेंसियों को सूचित कर दिया गया है, और स्टेक डीएओ ने कहा कि वह चोरी की गई संपत्ति के प्रवाह को ट्रैक करने और समझौता किए गए स्मार्ट कॉन्ट्रैक्ट्स का एक व्यापक फोरेंसिक ऑडिट करने के लिए बाहरी सुरक्षा भागीदारों के साथ सहयोग कर रहा है।

इस घटना का समय ऐसे में आया है जब व्यापक डीआईएफआई इकोसिस्टम ओपनज़ेपेलिन के सह-संस्थापक मैनुअल अराओज़ द्वारा लोकप्रिय किए गए एक वायरल सिद्धांत का खंडन करने की कोशिश कर रहा है, जिन्होंने हाल ही में यह दावा किया था कि "सभी डीआईएफआई असुरक्षित हैं।" आराओज़ के गंभीर आकलन ने उद्योग के प्रतिभागियों को स्तब्ध कर दिया, और एक ऐसे क्षेत्र के भीतर पुनर्मूल्यांकन के लिए मजबूर कर दिया जो पहले से ही प्रोटोकॉल शोषण और संरचनात्मक कमजोरियों की लहर से थका हुआ था। स्टेक डीएओ शोषण आराओज़ के सिद्धांत को पुष्ट करता है, जिससे उद्योग के संस्थागत और खुदरा विश्वास को बहाल करने के प्रयासों में जटिलता आ गई है।

इस सिद्धांत के कारण ओपनज़ेपेलिन ने एक बयान जारी कर खुद को अराओज़ से अलग कर लिया, जिसके बारे में कंपनी ने कहा कि उन्होंने 2019 में संगठन छोड़ दिया था। ओपनज़ेपेलिन ने अराओज़ द्वारा उठाई गई प्रमुख चिंताओं को भी संबोधित किया, यह स्वीकार करते हुए कि जबकि कृत्रिम बुद्धिमत्ता एक वास्तविक खतरा है, यह "कठोरता और विशेषज्ञ मानवीय निर्णय" के साथ उपयोग किए जाने पर एक शक्तिशाली रक्षात्मक उपकरण भी है।

ओपनज़ेपेलिन ने एक बयान में कहा, "हमारे शोधकर्ता अधिक मुद्दों और एज मामलों को पकड़ने के लिए प्रतिदिन एआई का उपयोग करते हैं।" "एआई जोखिम का जवाब डीआईएफआई से पीछे हटना नहीं है। यह बेहतर सुरक्षा है।"

हाल की सुरक्षा घटनाओं की श्रृंखला की ओर मुड़ते हुए, ओपनज़ेपेलिन ने जोर देकर कहा कि इनमें से कई का पता स्मार्ट कॉन्ट्रैक्ट बग्स के बजाय परिचालन सुरक्षा विफलताओं तक लगाया जा सकता है।