Stake DAO blocca i mercati vsdCRV su Arbitrum dopo che un hacker ha coniato 5,4 trilioni di token sintetici

Una falla nell'infinite minting innesca l'exploit

La piattaforma di finanza decentralizzata (DeFi) Stake DAO ha confermato il 27 maggio che il suo protocollo sulla rete Arbitrum layer-2 è stato preso di mira da un exploit, che ha permesso a una parte non autorizzata di coniare in modo malizioso trilioni di token sintetici. Secondo i risultati preliminari della società di sicurezza blockchain Blockaid, l'autore dell'attacco ha sfruttato una vulnerabilità di conio infinito legata alla logica del vault vsdCRV di Stake DAO e al sistema automatizzato di distribuzione dei premi.

Il contratto ha accettato una transizione di stato non valida, causando un grave errore di contabilità interna. Questa falla ha permesso all'autore dell'attacco di gonfiare l'offerta di vsdCRV di 5,4 trilioni di unità. Alcuni rapporti suggeriscono che l'autore dell'attacco sia riuscito a sottrarre circa 91.000 dollari in asset digitali trasferibili dai pool di liquidità colpiti prima che il problema venisse identificato e risolto.

I principali collaboratori di Stake DAO sono intervenuti rapidamente per mitigare ulteriori danni, annunciando di aver garantito con successo il sostegno di vsdCRV sulla mainnet di Ethereum. Grazie al rapido contenimento, i responsabili del protocollo hanno confermato che nessun fondo della mainnet può essere sottratto dall'autore dell'attacco. Inoltre, il team ha disattivato il bridge vsdCRV, limitando con successo l'impatto economico dell'exploit all'ecosistema Arbitrum.

"In base alla nostra attuale valutazione, i rendimenti potenziati, i Liquid Lockers, Votemarket e i prestiti di Stake DAO su Morpho non sono stati influenzati", ha dichiarato Stake DAO in un comunicato condiviso tramite la piattaforma social X.

Il protocollo ha tuttavia sottolineato che il mercato Arbitrum asdCRV Llamalend verrà chiuso definitivamente a seguito dell'incidente. Stake DAO ha consigliato agli utenti di non interagire con i contratti vsdCRV e sta esortando i depositanti di crvUSD a trasferire il proprio capitale verso mercati Llamalend alternativi e non interessati dall'incidente.

Un momento delicato per la sicurezza della DeFi

Le forze dell'ordine sono state informate e Stake DAO ha dichiarato di stare collaborando con partner di sicurezza esterni per tracciare il flusso delle risorse rubate e condurre una verifica forense completa degli smart contract compromessi. L'incidente si verifica in un momento in cui l'ecosistema DeFi nel suo complesso sta cercando di respingere una tesi virale diffusa dal co-fondatore di Openzeppelin Manuel Aráoz, il quale ha recentemente affermato che "tutta la DeFi è insicura". La valutazione pessimistica di Aráoz ha sbalordito gli operatori del settore, costringendo a fare i conti con una situazione già appesantita da un'ondata di exploit dei protocolli e vulnerabilità strutturali. L'exploit di Stake DAO avvalora la tesi di Aráoz, complicando gli sforzi del settore per ripristinare la fiducia degli investitori istituzionali e al dettaglio.

La tesi ha spinto Openzeppelin a rilasciare una dichiarazione in cui prende le distanze da Aráoz, che secondo l'azienda avrebbe lasciato l'organizzazione nel 2019. Openzeppelin ha anche affrontato le principali preoccupazioni sollevate da Aráoz, riconoscendo che, sebbene l'intelligenza artificiale sia un vero vettore di minaccia, è anche un potente strumento difensivo se utilizzata "con rigore e con il giudizio esperto di un essere umano".

"I nostri ricercatori utilizzano quotidianamente l'IA per individuare più problemi e casi limite", ha affermato Openzeppelin in una dichiarazione. "La risposta al rischio legato all'IA non è ritirarsi dalla DeFi. È una sicurezza migliore." Passando alla recente ondata di incidenti di sicurezza, Openzeppelin ha insistito sul fatto che molti di questi possono essere ricondotti a fallimenti nella sicurezza operativa, piuttosto che a bug degli smart contract.