Stake DAO приостановило работу рынков vsdCRV на Arbitrum после того, как злоумышленник выпустил 5,4 трлн синтетических токенов

Лазейка в виде бесконечного чеканки вызвала эксплойт

Платформа децентрализованных финансов (DeFi) Stake DAO подтвердила 27 мая, что ее протокол в сети Arbitrum layer-2 стал целью атаки, позволившей постороннему лицу злонамеренно выпустить триллионы синтетических токенов. Согласно предварительным выводам компании Blockaid, занимающейся безопасностью блокчейнов, злоумышленник воспользовался уязвимостью бесконечного чеканки, связанной с логикой хранилища vsdCRV и автоматизированной системой распределения вознаграждений Stake DAO.

Контракт принял недействительный переход состояния, что привело к серьезному сбою внутреннего учета. Эта лазейка позволила злоумышленнику увеличить предложение vsdCRV на 5,4 триллиона единиц. Некоторые отчеты предполагают, что злоумышленник смог вывести примерно 91 000 долларов в виде переводимых цифровых активов из затронутых пулов ликвидности до того, как проблема была выявлена и устранена.

Основные участники Stake DAO оперативно приняли меры по предотвращению дальнейшего ущерба, объявив, что им удалось обеспечить поддержку vsdCRV в основной сети Ethereum. Благодаря оперативным мерам по локализации угрозы представители протокола подтвердили, что злоумышленник не сможет завладеть средствами в основной сети. Кроме того, команда отключила мост vsdCRV, успешно ограничив экономические последствия уязвимости экосистемой Arbitrum.

«Исходя из нашей текущей оценки, на доходность Boosted, Liquid Lockers, Votemarket и кредитование Stake DAO на Morpho это не повлияло», — заявили в Stake DAO в сообщении, опубликованном через социальную сеть X.

Однако протокол отметил, что рынок Arbitrum asdCRV Llamalend будет навсегда закрыт в связи с инцидентом. Stake DAO посоветовал пользователям не взаимодействовать с контрактами vsdCRV и призывает вкладчиков crvUSD перенести свой капитал на альтернативные, не затронутые инцидентом рынки Llamalend.

Нестабильная ситуация с безопасностью DeFi

Правоохранительные органы были уведомлены, и Stake DAO заявила, что сотрудничает с внешними партнерами по безопасности, чтобы отследить движение похищенных активов и провести комплексную криминалистическую экспертизу скомпрометированных смарт-контрактов.

Инцидент произошел в тот момент, когда экосистема DeFi в целом пытается опровергнуть широко распространившуюся тезу, популяризированную соучредителем Openzeppelin Мануэлем Араосом, который недавно заявил, что «вся DeFi небезопасна». Мрачная оценка Араоса ошеломила участников отрасли, вынудив их переосмыслить ситуацию в секторе, и без того измотанном волной взломов протоколов и структурных уязвимостей. Взлом Stake DAO подтверждает тезис Араоса, усложняя усилия отрасли по восстановлению доверия со стороны институциональных инвесторов и розничных пользователей.

Эта теза побудила Openzeppelin выпустить заявление, дистанцирующееся от Араоса, который, по словам компании, покинул организацию в 2019 году. Openzeppelin также ответила на ключевые опасения, высказанные Араосом, признав, что хотя искусственный интеллект и является реальным вектором угроз, он также является мощным защитным инструментом, если его использовать «строго и с экспертным человеческим суждением».

«Наши исследователи ежедневно используют ИИ, чтобы выявлять больше проблем и крайних случаев», — говорится в заявлении Openzeppelin. «Ответ на риски, связанные с ИИ, — это не отказ от DeFi. Это повышение безопасности».

Что касается недавней череды инцидентов, связанных с безопасностью, Openzeppelin настаивает на том, что многие из них можно отнести к сбоям в операционной безопасности, а не к ошибкам в смарт-контрактах.