Stake DAOは、攻撃者が5.4兆の合成トークンを発行したことを受け、Arbitrum上のvsdCRV市場を凍結しました。

無限ミントの抜け穴がエクスプロイトを誘発

分散型金融（DeFi）プラットフォームのStake DAOは5月27日、Arbitrumレイヤー2ネットワーク上のプロトコルでエクスプロイトが発生し、不正な第三者が意図的に数兆単位の合成トークンを鋳造できたと確認しました。ブロックチェーンセキュリティ企業Blockaidの予備調査によると、攻撃者はStake DAOのvsdCRVボールトロジックと自動報酬分配システムに存在する無限鋳造の脆弱性を悪用しました。

契約が無効な状態遷移を受け入れたことで、深刻な内部会計上の不具合が発生しました。この抜け穴により、攻撃者はvsdCRVの供給量を5.4兆単位も水増しできました。一部の報告によると、問題が特定され停止される前に、攻撃者は影響を受けた流動性プールから約9万1,000ドル相当の移転可能なデジタル資産を流出させました。

Stake DAOのコア開発チームは、被害拡大を阻止するため迅速に対応し、イーサリアムメインネット上のvsdCRVの裏付け資産を確保したと発表した。この迅速な封じ込め措置により、プロトコル関係者は、攻撃者がメインネット上の資金を奪うことはできないと確認した。さらに、チームはvsdCRVブリッジを無効化し、この脆弱性の経済的影響をArbitrumエコシステム内に限定することに成功した。

「現在の評価によると、Morpho上のBoosted yields、Liquid Lockers、Votemarket、およびStake DAOのレンディングは影響を受けていません」とStake DAOはX（旧Twitter）で発表した。

ただし、同プロトコルはArbitrum上のvsdCRV Llamalendマーケットを恒久的に終了させることを明らかにしました。Stake DAOはユーザーに対しvsdCRVコントラクトとのやり取りを控えるよう助言するとともに、crvUSD預託者には影響を受けていない他のLlamalendマーケットへ資金を移すよう強く促しています。

DeFiセキュリティの危機的局面

Stake DAOは法執行機関に通報済みであり、外部のセキュリティパートナーと協力して盗まれた資産の流出入を追跡するとともに、侵害されたスマートコントラクトの包括的なフォレンジック監査を実施していると述べました。このインシデントが発生したタイミングは、DeFiエコシステム全体がOpenzeppelinの共同創設者であるマヌエル・アラオス氏が広めた「すべてのDeFiは安全ではない」という主張に対抗しようとしている最中でした。 アラオスの厳しい評価は業界関係者を震撼させ、プロトコルの悪用や構造的な脆弱性の波にすでに疲弊していたセクター内で、厳しい現実と向き合うことを余儀なくさせた。Stake DAOへの攻撃はアラオスの主張を裏付けるものとなり、機関投資家や個人投資家の信頼回復を目指す業界の取り組みをさらに困難なものにしている。

この主張を受け、Openzeppelinはアラオス氏との距離を置く声明を発表した。同社によれば、アラオス氏は2019年に組織を離れているという。またOpenzeppelinは、アラオス氏が提起した主要な懸念に対しても言及し、人工知能（AI）が現実的な脅威の経路である一方で、「厳格な運用と専門家の人的判断」を伴えば、強力な防御ツールにもなり得ると認めた。

「当社の研究者は、より多くの問題やエッジケースを捕捉するために、日々AIを活用しています」とOpenzeppelinは声明で述べました。「AIリスクへの答えは、DeFiからの撤退ではありません。より優れたセキュリティこそが答えです。」 最近の相次ぐセキュリティインシデントについて、Openzeppelinは、その多くはスマートコントラクトのバグではなく、運用上のセキュリティ上の失敗に起因すると主張しました。