Dana 27. svibnja, platforma za decentralizirane financije Stake DAO pretrpjela je exploit beskonačnog mintanja na svom Arbitrum protokolu. Međutim, ključni suradnici Stake DAO-a brzo su osigurali mainnet sredstva koja podupiru tokene, ugasili vsdCRV most i uspješno obuzdali exploit.
Stake DAO zamrzava Arbitrum vsdCRV tržišta nakon što je napadač iskovao 5,4 bilijuna sintetičkih tokena
NAPISAO
PODIJELI
Ključne poruke
- Stake DAO je 27. svibnja pretrpio exploit beskonačnog mintanja na Arbitrumu, pri čemu je napadač navodno izvukao 91.000 USD u digitalnoj imovini.
- Proboj potiče viralnu raspravu o sigurnosti DeFi-ja koju je pokrenuo suosnivač OpenZeppelina Manuel Aráoz.
- Stake DAO gasi Arbitrum asdCRV Llamalend tržište i surađuje s tijelima za provedbu zakona.
Rupa u beskonačnom mintanju pokreće exploit
Platforma za decentralizirane financije (DeFi) Stake DAO potvrdila je 27. svibnja da je njezin protokol na Arbitrum layer-2 mreži bio meta exploita, koji je neovlaštenoj strani omogućio zlonamjerno mintanje bilijuna sintetičkih tokena. Prema preliminarnim nalazima tvrtke za sigurnost blockchaina Blockaid, napadač je iskoristio ranjivost beskonačnog mintanja povezanu s logikom Stake DAO-ova vsdCRV trezora i automatiziranim sustavom distribucije nagrada.
Ugovor je prihvatio nevaljani prijelaz stanja, što je dovelo do ozbiljnog internog računovodstvenog kvara. Ova rupa omogućila je napadaču da napuhne ponudu vsdCRV-a za 5,4 bilijuna jedinica. Neka izvješća sugeriraju da je napadač uspio izvući približno 91.000 USD u prenosivoj digitalnoj imovini iz pogođenih likvidnosnih poolova prije nego što je problem identificiran i zaustavljen.
Ključni suradnici Stake DAO-a brzo su djelovali kako bi ublažili daljnju štetu, objavivši da su uspješno osigurali pokriće vsdCRV-a na Ethereum mainnetu. Zbog brze obuzdanosti, predstavnici protokola potvrdili su da napadač ne može zaplijeniti nikakva mainnet sredstva. Osim toga, tim je deaktivirao vsdCRV most, uspješno ograničivši ekonomski učinak exploita na Arbitrum ekosustav.
“Na temelju naše trenutačne procjene, Boosted prinosi, Liquid Lockers, Votemarket & Stake DAO posudba na Morphou nisu pogođeni,” rekao je Stake DAO u priopćenju podijeljenom putem društvene platforme X.
Protokol je, međutim, napomenuo da se Arbitrum asdCRV Llamalend tržište trajno gasi nakon incidenta. Stake DAO je savjetovao korisnike da ne stupaju u interakciju s vsdCRV ugovorima te poziva deponente crvUSD-a da premjeste svoj kapital u alternativna, nepogođena Llamalend tržišta.
Osjetljiv trenutak za sigurnost DeFi-ja
Tijela za provedbu zakona su obaviještena, a Stake DAO je rekao da surađuje s vanjskim sigurnosnim partnerima kako bi pratio tok ukradene imovine i proveo sveobuhvatnu forenzičku reviziju kompromitiranih pametnih ugovora.
Vrijeme incidenta dolazi u trenutku kada širi DeFi ekosustav pokušava uzvratiti protiv viralnog stajališta koje je popularizirao suosnivač OpenZeppelina Manuel Aráoz, koji je nedavno ustvrdio da je “sav DeFi nesiguran.” Aráozova sumorna procjena zaprepastila je sudionike industrije, prisiljavajući na suočavanje unutar sektora koji je već iscrpljen valom exploitova protokola i strukturnim ranjivostima. Stake DAO exploit naglašava Aráozovu tezu, otežavajući napore industrije da obnovi institucionalno i maloprodajno povjerenje.
Teza je potaknula Openzeppelin da objavi priopćenje u kojem se distancira od Aráoza, za kojeg je tvrtka rekla da je napustio organizaciju 2019. Openzeppelin se također osvrnuo na ključne zabrinutosti koje je Aráoz iznio, priznajući da je umjetna inteligencija stvaran vektor prijetnje, ali i snažan obrambeni alat kada se koristi “uz rigoroznost i stručnu ljudsku prosudbu.”
“Naši istraživači svakodnevno koriste AI kako bi otkrili više problema i rubnih slučajeva,” rekao je Openzeppelin u priopćenju. “Odgovor na rizik AI-ja nije povlačenje iz DeFi-ja. To je bolja sigurnost.”
Osvrćući se na nedavnu seriju sigurnosnih incidenata, Openzeppelin je inzistirao da se mnogi od njih mogu pratiti do propusta u operativnoj sigurnosti, a ne do bugova u pametnim ugovorima.
