Stake DAO congela mercados de vsdCRV na Arbitrum após invasor cunhar 5,4 trilhões de tokens sintéticos

Brecha de cunhagem infinita desencadeia exploração

A plataforma de finanças descentralizadas (DeFi) Stake DAO confirmou em 27 de maio que seu protocolo na rede Arbitrum layer-2 foi alvo de uma exploração, permitindo que uma parte não autorizada cunhasse maliciosamente trilhões de tokens sintéticos. De acordo com conclusões preliminares da empresa de segurança de blockchain Blockaid, o invasor se aproveitou de uma vulnerabilidade de cunhagem infinita ligada à lógica do cofre vsdCRV da Stake DAO e ao sistema automatizado de distribuição de recompensas.

O contrato aceitou uma transição de estado inválida, levando a uma grave falha contábil interna. Essa brecha permitiu que o invasor inflacionasse a oferta de vsdCRV em 5,4 trilhões de unidades. Alguns relatos sugerem que o invasor conseguiu drenar aproximadamente US$ 91.000 em ativos digitais transferíveis dos pools de liquidez afetados antes que o problema fosse identificado e interrompido.

Os principais colaboradores da Stake DAO agiram rapidamente para mitigar danos adicionais, anunciando que haviam garantido com sucesso o lastro do vsdCRV na mainnet da Ethereum. Devido à rápida contenção, os responsáveis pelo protocolo confirmaram que nenhum fundo da mainnet pode ser apreendido pelo invasor. Além disso, a equipe desativou a ponte vsdCRV, confinando com sucesso o impacto econômico da exploração ao ecossistema Arbitrum.

“Com base em nossa avaliação atual, os rendimentos do Boosted, os Liquid Lockers, o Votemarket e os empréstimos do Stake DAO no Morpho não foram afetados”, afirmou o Stake DAO em um comunicado compartilhado na plataforma de mídia social X.

O protocolo observou, no entanto, que o mercado Arbitrum asdCRV Llamalend está sendo encerrado permanentemente na sequência do incidente. A Stake DAO aconselhou os usuários a não interagirem com contratos vsdCRV e está pedindo aos depositantes de crvUSD que transfiram seu capital para mercados Llamalend alternativos e não afetados.

Um momento delicado para a segurança da DeFi

As autoridades policiais foram notificadas, e a Stake DAO afirmou que está colaborando com parceiros de segurança externos para rastrear o fluxo dos ativos roubados e conduzir uma auditoria forense abrangente dos contratos inteligentes comprometidos.

O momento do incidente ocorre enquanto o ecossistema DeFi mais amplo tenta se opor a uma tese viral popularizada pelo cofundador da Openzeppelin, Manuel Aráoz, que recentemente afirmou que “todo o DeFi é inseguro”. A avaliação sombria de Aráoz surpreendeu os participantes do setor, forçando um acerto de contas dentro de um setor já exausto por uma onda de explorações de protocolos e vulnerabilidades estruturais. A exploração da Stake DAO reforça a tese de Aráoz, complicando os esforços do setor para restaurar a confiança institucional e do varejo.

A tese levou a Openzeppelin a emitir uma declaração se distanciando de Aráoz, que, segundo a empresa, deixou a organização em 2019. A Openzeppelin também abordou as principais preocupações levantadas por Aráoz, reconhecendo que, embora a inteligência artificial seja um vetor de ameaça real, ela também é uma poderosa ferramenta defensiva quando usada “com rigor e julgamento humano especializado”.

“Nossos pesquisadores usam IA diariamente para detectar mais problemas e casos extremos”, afirmou a Openzeppelin em comunicado. “A resposta ao risco da IA não é recuar da DeFi. É uma segurança melhor.”

Voltando-se para a recente onda de incidentes de segurança, a Openzeppelin insistiu que muitos deles podem ser atribuídos a falhas de segurança operacional, e não a bugs em contratos inteligentes.