A Stake DAO befagyasztotta az Arbitrum vsdCRV piacokat, miután egy támadó 5,4 billió szintetikus tokent bocsátott ki

A végtelen pénzverés kiskapuja kiváltja a támadást

A decentralizált pénzügyi (DeFi) platform, a Stake DAO május 27-én megerősítette, hogy az Arbitrum layer-2 hálózatán működő protokollját támadás érte, amely lehetővé tette egy jogosulatlan fél számára, hogy rosszindulatúan billiószámra bocsásson ki szintetikus tokeneket. A Blockaid blokklánc-biztonsági cég előzetes megállapításai szerint a támadó kihasználta a Stake DAO vsdCRV-tárolójának logikájához és automatizált jutalomelosztó rendszeréhez kapcsolódó végtelen kibocsátási sebezhetőséget.

A szerződés elfogadott egy érvénytelen állapotátmenetet, ami súlyos belső elszámolási hibához vezetett. Ez a kiskapu lehetővé tette a támadónak, hogy 5,4 billió egységgel növelje a vsdCRV kínálatát. Egyes jelentések szerint a támadó körülbelül 91 000 dollárnyi átruházható digitális eszközt tudott elszívni az érintett likviditási poolokból, mielőtt a problémát azonosították és leállították.

A Stake DAO fő fejlesztői gyorsan léptek a további károk enyhítése érdekében, és bejelentették, hogy sikeresen biztosították a vsdCRV fedezetét az Ethereum főhálózatán. A gyors beavatkozásnak köszönhetően a protokoll felelősei megerősítették, hogy a támadó nem tud főhálózati pénzeszközöket eltulajdonítani. Ezen felül a csapat deaktiválta a vsdCRV hidat, így sikeresen az Arbitrum ökoszisztémára korlátozva a sebezhetőség gazdasági hatását.

„Jelenlegi értékelésünk alapján a Boosted hozamok, a Liquid Lockers, a Votemarket és a Stake DAO hitelezése a Morpho-n nem érintett” – közölte a Stake DAO a közösségi média platformon, az X-en megosztott nyilatkozatában.

A protokoll azonban megjegyezte, hogy az Arbitrum asdCRV Llamalend piacot az incidens nyomán véglegesen megszüntetik. A Stake DAO azt tanácsolta a felhasználóknak, hogy ne lépjenek kapcsolatba a vsdCRV szerződésekkel, és sürgeti a crvUSD betéteseket, hogy helyezzék át tőkéjüket alternatív, nem érintett Llamalend piacokra.

Veszélyes helyzet a DeFi biztonsága szempontjából

Értesítették a bűnüldöző szerveket, és a Stake DAO közölte, hogy külső biztonsági partnerekkel együttműködve követi nyomon a lopott eszközök áramlását, és átfogó forenzikus vizsgálatot folytat a kompromittált intelligens szerződésekkel kapcsolatban.

Az incidens időzítése egybeesik azzal, hogy a szélesebb DeFi-ökoszisztéma megpróbál szembeszállni az Openzeppelin társalapítója, Manuel Aráoz által népszerűsített vírusként terjedő tézissel, aki nemrég kijelentette, hogy „az összes DeFi biztonságtalan”. Aráoz komor értékelése megdöbbentette az iparág résztvevőit, és számvetésre kényszerítette a szektort, amelyet már így is kimerített a protokollok kihasználásának és a strukturális sebezhetőségek hulláma. A Stake DAO kihasználása alátámasztja Aráoz tézisét, bonyolítva az iparág erőfeszítéseit az intézményi és a lakossági bizalom helyreállítására.

A tézis arra késztette az Openzeppelint, hogy nyilatkozatot adjon ki, amelyben elhatárolódik Aráoz-tól, aki a vállalat szerint 2019-ben távozott a szervezetből. Az Openzeppelin emellett foglalkozott az Aráoz által felvetett legfontosabb aggályokkal is, elismerve, hogy bár a mesterséges intelligencia valódi fenyegetési vektor, „szigorú és szakértői emberi ítélőképességgel” alkalmazva hatékony védelmi eszköz is lehet.

„Kutatóink naponta használják a mesterséges intelligenciát, hogy minél több problémát és szélsőséges esetet felismerjenek” – áll az Openzeppelin nyilatkozatában. „A mesterséges intelligencia kockázatára nem a DeFi-től való elfordulás a válasz. Hanem a jobb biztonság.”

A közelmúltban történt biztonsági incidensekre térve az Openzeppelin hangsúlyozta, hogy ezek közül sok inkább operatív biztonsági hibákra vezethető vissza, mintsem a smart contract hibáira.