Stake DAO Membekukan Pasar vsdCRV di Arbitrum Setelah Seorang Penyerang Mencetak 5,4 Triliun Token Sintetis

Celah Infinite-Minting Memicu Eksploitasi

Platform keuangan terdesentralisasi (DeFi) Stake DAO mengonfirmasi pada 27 Mei bahwa protokolnya di jaringan layer-2 Arbitrum menjadi sasaran serangan, yang memungkinkan pihak tak berwenang untuk mencetak triliunan token sintetis secara jahat. Menurut temuan awal dari firma keamanan blockchain Blockaid, penyerang memanfaatkan celah keamanan "infinite-minting" yang terkait dengan logika vault vsdCRV dan sistem distribusi hadiah otomatis Stake DAO.

Kontrak tersebut menerima transisi status yang tidak valid, yang menyebabkan kegagalan akuntansi internal yang parah. Celah ini memungkinkan penyerang untuk meningkatkan pasokan vsdCRV sebesar 5,4 triliun unit. Beberapa laporan menunjukkan bahwa penyerang berhasil menguras sekitar $91.000 aset digital yang dapat ditransfer dari kolam likuiditas yang terkena dampak sebelum masalah teridentifikasi dan dihentikan.

Kontributor inti Stake DAO bertindak cepat untuk memitigasi kerusakan lebih lanjut, mengumumkan bahwa mereka telah berhasil mengamankan jaminan vsdCRV di mainnet Ethereum. Berkat penanggulangan yang cepat, pejabat protokol memastikan bahwa dana mainnet tidak dapat disita oleh penyerang. Selain itu, tim menonaktifkan jembatan vsdCRV, sehingga berhasil membatasi dampak ekonomi eksploitasi tersebut pada ekosistem Arbitrum.

"Berdasarkan penilaian kami saat ini, Boosted yields, Liquid Lockers, Votemarket, dan pinjaman Stake DAO di Morpho tidak terpengaruh," kata Stake DAO dalam pernyataan yang dibagikan melalui platform media sosial X.

Namun, protokol tersebut mencatat bahwa pasar Arbitrum asdCRV Llamalend akan ditutup secara permanen sebagai akibat dari insiden tersebut. Stake DAO telah menyarankan pengguna untuk tidak berinteraksi dengan kontrak vsdCRV dan mendesak para deposan crvUSD untuk memindahkan modal mereka ke pasar Llamalend alternatif yang tidak terpengaruh.

Titik Kritis bagi Keamanan DeFi

Pihak berwenang telah diberitahu, dan Stake DAO menyatakan sedang berkolaborasi dengan mitra keamanan eksternal untuk melacak aliran aset yang dicuri serta melakukan audit forensik komprehensif terhadap kontrak pintar yang diretas.

Waktu terjadinya insiden ini bertepatan dengan upaya ekosistem DeFi yang lebih luas untuk menentang tesis viral yang dipopulerkan oleh co-founder Openzeppelin, Manuel Aráoz, yang baru-baru ini menyatakan bahwa "semua DeFi tidak aman." Penilaian suram Aráoz mengejutkan para pelaku industri, memaksa refleksi di sektor yang sudah lelah akibat gelombang eksploitasi protokol dan kerentanan struktural. Eksploitasi Stake DAO memperkuat tesis Aráoz, mempersulit upaya industri untuk memulihkan kepercayaan institusional dan ritel.

Tesis tersebut mendorong Openzeppelin untuk mengeluarkan pernyataan yang menjauhkan diri dari Aráoz, yang menurut perusahaan tersebut telah meninggalkan organisasi pada tahun 2019. Openzeppelin juga menanggapi kekhawatiran utama yang diangkat oleh Aráoz, mengakui bahwa meskipun kecerdasan buatan (AI) merupakan vektor ancaman yang nyata, AI juga merupakan alat pertahanan yang kuat jika digunakan "dengan ketelitian dan penilaian manusia yang ahli."

"Para peneliti kami menggunakan AI setiap hari untuk mendeteksi lebih banyak masalah dan kasus-kasus khusus," kata Openzeppelin dalam sebuah pernyataan. "Jawaban atas risiko AI bukanlah mundur dari DeFi. Jawabannya adalah keamanan yang lebih baik."

Beralih ke serangkaian insiden keamanan baru-baru ini, Openzeppelin menegaskan bahwa banyak di antaranya dapat ditelusuri kembali ke kegagalan keamanan operasional, bukan bug kontrak pintar.