Stake DAO fryser Arbitrum vsdCRV-markeder etter at angriper preger 5,4T syntetiske tokens

Smuthull for uendelig preging utløser utnyttelse

Den desentraliserte finansplattformen (DeFi) Stake DAO bekreftet 27. mai at protokollen deres på Arbitrum layer-2-nettverket ble målrettet av et angrep, som gjorde det mulig for en uautorisert part å ondsinnet prege billioner av syntetiske tokens. Ifølge foreløpige funn fra blokkjede-sikkerhetsselskapet Blockaid utnyttet angriperen en sårbarhet for uendelig preging knyttet til Stake DAOs vsdCRV-hvelvlogikk og automatiserte belønningsdistribusjonssystem.

Kontrakten aksepterte en ugyldig tilstandsovergang, noe som førte til en alvorlig intern bokføringsfeil. Dette smutthullet gjorde det mulig for angriperen å blåse opp tilbudet av vsdCRV med 5,4 billioner enheter. Noen rapporter antyder at angriperen klarte å tappe omtrent 91 000 dollar i overførbare digitale eiendeler fra de berørte likviditetspoolene før problemet ble identifisert og stanset.

Stake DAOs kjernebidragsytere handlet raskt for å begrense ytterligere skade, og kunngjorde at de hadde sikret vsdCRV-dekningen på Ethereum-mainnet. På grunn av den raske inndemmingen bekreftet protokollansvarlige at ingen mainnet-midler kan beslaglegges av angriperen. I tillegg deaktiverte teamet vsdCRV-broen, og klarte dermed å begrense angrepets økonomiske påvirkning til Arbitrum-økosystemet.

“Basert på vår nåværende vurdering er Boosted yields, Liquid Lockers, Votemarket og Stake DAO-utlån på Morpho upåvirket,” sa Stake DAO i en uttalelse delt via sosiale medier-plattformen X.

Protokollen bemerket imidlertid at Arbitrum asdCRV Llamalend-markedet blir permanent avviklet i kjølvannet av hendelsen. Stake DAO har rådet brukere til ikke å samhandle med vsdCRV-kontrakter og oppfordrer crvUSD-innskytere til å flytte kapitalen sin til alternative, upåvirkede Llamalend-markeder.

Et prekært tidspunkt for DeFi-sikkerhet

Rettshåndhevende myndigheter er varslet, og Stake DAO sier at de samarbeider med eksterne sikkerhetspartnere for å spore flyten av stjålne eiendeler og gjennomføre en omfattende rettsmedisinsk revisjon av de kompromitterte smartkontraktene.

Tidspunktet for hendelsen kommer idet det bredere DeFi-økosystemet forsøker å slå tilbake mot en viral tese popularisert av Openzeppelin-medgründer Manuel Aráoz, som nylig hevdet at “all DeFi er utrygt.” Aráoz’ dystre vurdering sjokkerte bransjedeltakere og tvang frem et oppgjør i en sektor som allerede er sliten etter en bølge av protokollutnyttelser og strukturelle sårbarheter. Stake DAO-angrepet understreker Aráoz’ tese og kompliserer bransjens arbeid med å gjenopprette tillit blant institusjonelle aktører og retail-investorer.

Tesen førte til at Openzeppelin utstedte en uttalelse der de distanserte seg fra Aráoz, som selskapet sa forlot organisasjonen i 2019. Openzeppelin adresserte også hovedbekymringene Aráoz tok opp, og erkjente at selv om kunstig intelligens er en reell trusselvektor, er det også et kraftfullt defensivt verktøy når det brukes “med stringens og ekspert menneskelig dømmekraft.”

“Våre forskere bruker KI daglig for å fange opp flere problemer og randtilfeller,” sa Openzeppelin i en uttalelse. “Svaret på KI-risiko er ikke å trekke seg tilbake fra DeFi. Det er bedre sikkerhet.”

Når det gjelder den nylige bølgen av sikkerhetshendelser, insisterte Openzeppelin på at mange av disse kan spores tilbake til operasjonelle sikkerhetssvikt, snarere enn feil i smartkontrakter.