Stake DAO îngheață piețele Arbitrum vsdCRV după ce un atacator a emis 5,4 trilioane de tokenuri sintetice

Lacuna de tip „infinite minting” declanșează exploatarea

Platforma de finanțare descentralizată (DeFi) Stake DAO a confirmat pe 27 mai că protocolul său de pe rețeaua Arbitrum layer-2 a fost ținta unui atac, permițând unei părți neautorizate să emită în mod rău intenționat trilioane de tokenuri sintetice. Conform concluziilor preliminare ale firmei de securitate blockchain Blockaid, atacatorul a profitat de o vulnerabilitate de tip „infinite-minting” legată de logica seifului vsdCRV al Stake DAO și de sistemul automat de distribuire a recompenselor.

Contractul a acceptat o tranziție de stare nevalidă, ceea ce a dus la o gravă eroare de contabilitate internă. Această breșă i-a permis atacatorului să umfle oferta de vsdCRV cu 5,4 trilioane de unități. Unele rapoarte sugerează că atacatorul a reușit să sustragă aproximativ 91.000 de dolari în active digitale transferabile din fondurile de lichiditate afectate înainte ca problema să fie identificată și oprită.

Contribuitorii principali ai Stake DAO au acționat rapid pentru a atenua daunele suplimentare, anunțând că au securizat cu succes susținerea vsdCRV pe rețeaua principală Ethereum. Datorită contenționării rapide, oficialii protocolului au confirmat că niciun fond din rețeaua principală nu poate fi confiscat de atacator. În plus, echipa a dezactivat puntea vsdCRV, limitând cu succes impactul economic al exploatării la ecosistemul Arbitrum.

„Pe baza evaluării noastre actuale, randamentele Boosted, Liquid Lockers, Votemarket și împrumuturile Stake DAO pe Morpho nu sunt afectate”, a declarat Stake DAO într-o declarație distribuită prin intermediul platformei de socializare X.

Protocolul a menționat, totuși, că piața Arbitrum asdCRV Llamalend va fi închisă definitiv în urma incidentului. Stake DAO a sfătuit utilizatorii să nu interacționeze cu contractele vsdCRV și îi îndeamnă pe deponenții crvUSD să-și mute capitalul către piețe Llamalend alternative, neafectate.

Un moment precar pentru securitatea DeFi

Agențiile de aplicare a legii au fost notificate, iar Stake DAO a declarat că colaborează cu parteneri externi de securitate pentru a urmări fluxul activelor furate și pentru a efectua un audit criminalistic cuprinzător al contractelor inteligente compromise.

Momentul incidentului survine în contextul în care ecosistemul DeFi mai larg încearcă să respingă o teză virală popularizată de cofondatorul Openzeppelin, Manuel Aráoz, care a afirmat recent că „toate DeFi-urile sunt nesigure”. Evaluarea sumbră a lui Aráoz a uimit participanții din industrie, forțând o reevaluare în cadrul unui sector deja obosit de un val de exploatări de protocoale și vulnerabilități structurale. Exploatarea Stake DAO subliniază teza lui Aráoz, complicând eforturile industriei de a restabili încrederea instituțională și a consumatorilor.

Teza l-a determinat pe Openzeppelin să emită o declarație prin care se distanțează de Aráoz, despre care compania a spus că a părăsit organizația în 2019. Openzeppelin a abordat, de asemenea, preocupările cheie ridicate de Aráoz, recunoscând că, deși inteligența artificială este un vector real de amenințare, este, de asemenea, un instrument defensiv puternic atunci când este utilizată „cu rigoare și judecată umană expertă”.

„Cercetătorii noștri folosesc zilnic IA pentru a identifica mai multe probleme și cazuri marginale”, a declarat Openzeppelin într-o declarație. „Răspunsul la riscul IA nu este retragerea din DeFi. Este o securitate mai bună.”

Referindu-se la valul recent de incidente de securitate, Openzeppelin a insistat că multe dintre acestea pot fi atribuite eșecurilor de securitate operațională, mai degrabă decât erorilor contractelor inteligente.