Op 27 mei werd het gedecentraliseerde financiële platform Stake DAO het slachtoffer van een exploit waarbij oneindig veel tokens konden worden geslagen op het Arbitrum-protocol. De kernontwikkelaars van Stake DAO hebben echter snel de mainnet-middelen die de tokens ondersteunen beveiligd, de vsdCRV-bridge uitgeschakeld en de exploit met succes onder controle gekregen.
Stake DAO legt Arbitrum-markten voor vsdCRV stil nadat een aanvaller 5,4 biljoen synthetische tokens heeft geslagen
GESCHREVEN DOOR
DELEN
Belangrijkste punten
- Stake DAO werd op 27 mei getroffen door een exploit met oneindige muntcreatie op Arbitrum, waarbij de aanvaller naar verluidt 91.000 dollar aan digitale activa heeft weggehaald.
- De inbreuk wakkert een virale discussie aan over DeFi-beveiliging, die werd aangewakkerd door Manuel Aráoz, medeoprichter van Openzeppelin.
- Stake DAO sluit de Arbitrum asdCRV Llamalend-markt en werkt samen met de wetshandhavingsinstanties.
Maas in de wet voor oneindig minting leidt tot exploit
Het gedecentraliseerde financiële (DeFi) platform Stake DAO bevestigde op 27 mei dat zijn protocol op het Arbitrum layer-2-netwerk het doelwit was van een exploit, waardoor een onbevoegde partij op kwaadwillige wijze triljoenen synthetische tokens kon mintten. Volgens voorlopige bevindingen van blockchainbeveiligingsbedrijf Blockaid maakte de aanvaller gebruik van een kwetsbaarheid voor oneindig mintten die verband hield met de vsdCRV-vaultlogica en het geautomatiseerde beloningsdistributiesysteem van Stake DAO.
Het contract accepteerde een ongeldige statusovergang, wat leidde tot een ernstige interne boekhoudfout. Door deze maas in de wet kon de aanvaller het aanbod van vsdCRV met 5,4 biljoen eenheden opblazen. Sommige rapporten suggereren dat de aanvaller ongeveer $ 91.000 aan overdraagbare digitale activa uit de getroffen liquiditeitspools kon weghalen voordat het probleem werd opgemerkt en gestopt.
De belangrijkste medewerkers van Stake DAO handelden snel om verdere schade te beperken en kondigden aan dat ze de vsdCRV-dekking op het Ethereum-mainnet met succes hadden veiliggesteld. Dankzij de snelle inperking bevestigden protocolfunctionarissen dat er geen mainnet-middelen door de aanvaller kunnen worden buitgemaakt. Bovendien heeft het team de vsdCRV-bridge gedeactiveerd, waardoor de economische impact van de exploit met succes beperkt bleef tot het Arbitrum-ecosysteem.
"Op basis van onze huidige beoordeling zijn Boosted yields, Liquid Lockers, Votemarket en Stake DAO-leningen op Morpho niet getroffen", aldus Stake DAO in een verklaring die via het sociale mediaplatform X werd gedeeld.
Het protocol merkte echter op dat de Arbitrum asdCRV Llamalend-markt na het incident definitief wordt stopgezet. Stake DAO heeft gebruikers geadviseerd geen interactie aan te gaan met vsdCRV-contracten en dringt er bij crvUSD-deposanten op aan hun kapitaal te verplaatsen naar alternatieve, niet-getroffen Llamalend-markten.
Een precair moment voor DeFi-beveiliging
Wetshandhavingsinstanties zijn op de hoogte gebracht en Stake DAO zei dat het samenwerkt met externe beveiligingspartners om de stroom van gestolen activa te traceren en een uitgebreide forensische audit uit te voeren van de gecompromitteerde slimme contracten.
Het incident komt op een moment dat het bredere DeFi-ecosysteem probeert terug te vechten tegen een virale stelling die populair is gemaakt door Openzeppelin-medeoprichter Manuel Aráoz, die onlangs beweerde dat "alle DeFi onveilig is." De sombere beoordeling van Aráoz verbaasde deelnemers in de sector en dwong tot een afrekening binnen een sector die al vermoeid was door een golf van protocolmisbruiken en structurele kwetsbaarheden. Het misbruik van Stake DAO onderstreept de stelling van Aráoz en bemoeilijkt de inspanningen van de sector om het vertrouwen van institutionele en particuliere beleggers te herstellen.
De stelling was voor Openzeppelin aanleiding om een verklaring uit te geven waarin het afstand nam van Aráoz, die volgens het bedrijf de organisatie in 2019 heeft verlaten. Openzeppelin ging ook in op de belangrijkste punten van zorg die Aráoz naar voren bracht, en erkende dat kunstmatige intelligentie weliswaar een reële bedreiging vormt, maar ook een krachtig verdedigingsmiddel is wanneer het "met striktheid en deskundig menselijk oordeel" wordt gebruikt.
"Onze onderzoekers gebruiken AI dagelijks om meer problemen en randgevallen op te sporen", aldus Openzeppelin in een verklaring. "Het antwoord op AI-risico's is niet terugtrekken uit DeFi. Het is betere beveiliging."
Wat betreft de recente golf van beveiligingsincidenten benadrukte Openzeppelin dat veel van deze incidenten kunnen worden teruggevoerd op operationele beveiligingsfouten, in plaats van op bugs in slimme contracten.
