Stake DAO Membekukan Pasaran vsdCRV Arbitrum Selepas Penyerang Mencetak 5.4T Token Sintetik

Kelompongan Pencetakan Tanpa Had Mencetuskan Eksploit

Platform kewangan terdesentralisasi (DeFi), Stake DAO mengesahkan pada 27 Mei bahawa protokolnya pada rangkaian layer-2 Arbitrum telah menjadi sasaran eksploit, membolehkan pihak tidak dibenarkan mencetak secara berniat jahat trilion token sintetik. Menurut dapatan awal oleh firma keselamatan rantaian blok Blockaid, penyerang mengambil kesempatan daripada kerentanan pencetakan tanpa had yang berkaitan dengan logik peti simpanan (vault) vsdCRV milik Stake DAO dan sistem pengagihan ganjaran automatik.

Kontrak tersebut menerima peralihan keadaan yang tidak sah, menyebabkan kegagalan perakaunan dalaman yang serius. Kelompongan ini membolehkan penyerang menaikkan bekalan vsdCRV sebanyak 5.4 trilion unit. Sesetengah laporan mencadangkan bahawa penyerang berjaya menguras kira-kira $91,000 dalam aset digital yang boleh dipindahkan daripada kumpulan kecairan yang terjejas sebelum isu itu dikenal pasti dan dihentikan.

Penyumbang teras Stake DAO bertindak pantas untuk mengurangkan kerosakan lanjut, mengumumkan bahawa mereka telah berjaya mengamankan sokongan vsdCRV pada mainnet Ethereum. Disebabkan pembendungan yang cepat, pegawai protokol mengesahkan bahawa tiada dana mainnet boleh dirampas oleh penyerang. Selain itu, pasukan menyahaktifkan jambatan vsdCRV, sekali gus berjaya mengehadkan impak ekonomi eksploit itu kepada ekosistem Arbitrum.

“Berdasarkan penilaian semasa kami, Boosted yields, Liquid Lockers, Votemarket & pinjaman Stake DAO di Morpho tidak terjejas,” kata Stake DAO dalam satu kenyataan yang dikongsi melalui platform media sosial X.

Walau bagaimanapun, protokol itu menyatakan bahawa pasaran Arbitrum asdCRV Llamalend sedang ditamatkan (sunset) secara kekal susulan insiden tersebut. Stake DAO telah menasihatkan pengguna agar tidak berinteraksi dengan kontrak vsdCRV dan menggesa pendeposit crvUSD untuk memindahkan modal mereka ke pasaran Llamalend alternatif yang lain yang tidak terjejas.

Simpang Genting bagi Keselamatan DeFi

Agensi penguatkuasaan undang-undang telah dimaklumkan, dan Stake DAO berkata ia bekerjasama dengan rakan keselamatan luaran untuk menjejaki aliran aset yang dicuri serta menjalankan audit forensik menyeluruh ke atas kontrak pintar yang telah dikompromi.

Masa insiden ini berlaku ketika ekosistem DeFi yang lebih luas cuba menangkis tesis tular yang dipopularkan oleh pengasas bersama Openzeppelin, Manuel Aráoz, yang baru-baru ini menegaskan bahawa “semua DeFi tidak selamat.” Penilaian suram Aráoz mengejutkan peserta industri, memaksa satu penilaian semula dalam sektor yang sudah pun letih akibat gelombang eksploit protokol dan kerentanan struktur. Eksploit Stake DAO mengukuhkan tesis Aráoz, merumitkan usaha industri untuk memulihkan keyakinan institusi dan runcit.

Tesis tersebut mendorong Openzeppelin mengeluarkan kenyataan yang menjauhkan dirinya daripada Aráoz, yang menurut syarikat itu telah meninggalkan organisasi tersebut pada 2019. Openzeppelin juga menangani kebimbangan utama yang dibangkitkan oleh Aráoz, mengakui bahawa walaupun kecerdasan buatan ialah vektor ancaman yang sebenar, ia juga merupakan alat pertahanan yang ampuh apabila digunakan “dengan ketelitian dan pertimbangan pakar manusia.”

“Penyelidik kami menggunakan AI setiap hari untuk mengesan lebih banyak isu dan kes pinggiran,” kata Openzeppelin dalam satu kenyataan. “Jawapan kepada risiko AI bukanlah berundur daripada DeFi. Ia ialah keselamatan yang lebih baik.”

Menyentuh mengenai rentetan insiden keselamatan baru-baru ini, Openzeppelin menegaskan banyak daripadanya boleh dikesan kepada kegagalan keselamatan operasi, bukannya pepijat kontrak pintar.