Stake DAO zawiesza rynki vsdCRV w sieci Arbitrum po tym, jak osoba atakująca wyemitowała 5,4 bln tokenów syntetycznych

Luka umożliwiająca nieograniczone tworzenie tokenów powoduje atak

Platforma zdecentralizowanych finansów (DeFi) Stake DAO potwierdziła 27 maja, że jej protokół w sieci Arbitrum layer-2 stał się celem ataku, który umożliwił nieuprawnionej osobie złośliwe wyemitowanie trylionów tokenów syntetycznych. Według wstępnych ustaleń firmy Blockaid zajmującej się bezpieczeństwem blockchain, atakujący wykorzystał lukę w zabezpieczeniach związaną z logiką skarbca vsdCRV Stake DAO oraz zautomatyzowanym systemem dystrybucji nagród.

Kontrakt zaakceptował nieprawidłowe przejście stanu, co doprowadziło do poważnej awarii wewnętrznej księgowości. Ta luka pozwoliła atakującemu na zwiększenie podaży vsdCRV o 5,4 biliona jednostek. Niektóre raporty sugerują, że atakujący był w stanie wyprowadzić około 91 000 dolarów w postaci zbywalnych aktywów cyfrowych z dotkniętych problemem pul płynności, zanim problem został zidentyfikowany i powstrzymany.

Główni współpracownicy Stake DAO szybko podjęli działania mające na celu ograniczenie dalszych szkód, ogłaszając, że udało im się zabezpieczyć wsparcie vsdCRV w sieci głównej Ethereum. Dzięki szybkiemu opanowaniu sytuacji przedstawiciele protokołu potwierdzili, że atakujący nie może przejąć żadnych środków z sieci głównej. Ponadto zespół wyłączył most vsdCRV, skutecznie ograniczając ekonomiczne skutki ataku do ekosystemu Arbitrum.

„Zgodnie z naszą aktualną oceną, zwiększone zyski, Liquid Lockers, Votemarket i pożyczki Stake DAO na Morpho nie uległy zmianie” – poinformowało Stake DAO w oświadczeniu opublikowanym na platformie społecznościowej X.

Protokół zaznaczył jednak, że rynek Arbitrum asdCRV Llamalend zostanie trwale zamknięty w następstwie tego incydentu. Stake DAO poradził użytkownikom, aby nie wchodzili w interakcje z kontraktami vsdCRV i zachęca deponentów crvUSD do przeniesienia swojego kapitału na alternatywne, nieobjęte atakiem rynki Llamalend.

Niepewna sytuacja w zakresie bezpieczeństwa DeFi

Powiadomiono organy ścigania, a Stake DAO poinformowało, że współpracuje z zewnętrznymi partnerami ds. bezpieczeństwa w celu śledzenia przepływu skradzionych aktywów oraz przeprowadzenia kompleksowego audytu kryminalistycznego naruszonych smart kontraktów.

Incydent ten ma miejsce w momencie, gdy szeroko pojęty ekosystem DeFi próbuje odeprzeć popularną tezę rozpowszechnioną przez współzałożyciela Openzeppelin, Manuela Aráoz, który niedawno stwierdził, że „cały DeFi jest niebezpieczny”. Ponura ocena Aráoz zaskoczyła uczestników branży, zmuszając do rozliczenia się w sektorze już zmęczonym falą exploitów protokołów i strukturalnych słabości. Exploit Stake DAO potwierdza tezę Aráoz, komplikując wysiłki branży zmierzające do przywrócenia zaufania instytucji i klientów detalicznych.

Teza ta skłoniła Openzeppelin do wydania oświadczenia, w którym firma zdystansowała się od Aráoz, który, jak podała firma, opuścił organizację w 2019 roku. Openzeppelin odniosło się również do kluczowych obaw zgłoszonych przez Aráoz, przyznając, że chociaż sztuczna inteligencja jest realnym wektorem zagrożeń, to jest również potężnym narzędziem obronnym, gdy jest używana „z rygorem i fachową oceną ludzką”.

„Nasi badacze codziennie korzystają ze sztucznej inteligencji, aby wykrywać więcej problemów i skrajnych przypadków” – stwierdziła firma Openzeppelin w oświadczeniu. „Odpowiedzią na ryzyko związane ze sztuczną inteligencją nie jest wycofanie się z DeFi. Jest nią lepsze zabezpieczenie”.

Odnosząc się do ostatniej fali incydentów związanych z bezpieczeństwem, firma Openzeppelin podkreśliła, że wiele z nich można przypisać błędom w zabezpieczeniach operacyjnych, a nie błędom w inteligentnych kontraktach.