27. mája došlo na decentralizovanej finančnej platforme Stake DAO k zneužitiu protokolu Arbitrum, ktoré umožňovalo nekonečné vytváranie tokenov. Hlavní vývojári Stake DAO však rýchlo zabezpečili prostriedky v hlavnej sieti, ktoré kryjú tieto tokeny, vypli most vsdCRV a úspešne zabránili ďalšiemu šíreniu tohto zneužitia.
Stake DAO pozastavilo trhy s vsdCRV na Arbitrume po tom, čo útočník vytvoril 5,4 bilióna syntetických tokenov
NAPÍSAL
ZDIEĽAŤ
Kľúčové body
- Stake DAO utrpela 27. mája útok typu „infinite-mint“ na protokole Arbitrum, pri ktorom útočník údajne odcudzil digitálne aktíva v hodnote 91 000 USD.
- Tento útok podnietil búrlivú diskusiu o bezpečnosti DeFi, ktorú odštartoval spoluzakladateľ Openzeppelin Manuel Aráoz.
- Stake DAO ukončuje prevádzku trhu Arbitrum asdCRV Llamalend a spolupracuje s orgánmi činnými v trestnom konaní.
Medzera v nekonečnom vytváraní mincí spustila exploit
Platforma decentralizovaného financovania (DeFi) Stake DAO 27. mája potvrdila, že jej protokol v sieti Arbitrum layer-2 bol terčom útoku, ktorý umožnil neoprávnenej strane zlovestne vytvoriť bilióny syntetických tokenov. Podľa predbežných zistení spoločnosti Blockaid, ktorá sa zaoberá bezpečnosťou blockchainu, útočník využil zraniteľnosť nekonečného vytvárania tokenov spojenú s logikou trezoru vsdCRV a automatizovaným systémom distribúcie odmien Stake DAO.
Zmluva akceptovala neplatný prechod do nového stavu, čo viedlo k závažnej vnútornej chybe v účtovníctve. Táto medzera umožnila útočníkovi nafúknuť ponuku vsdCRV o 5,4 bilióna jednotiek. Niektoré správy naznačujú, že útočník dokázal z postihnutých likviditných fondov vybrať približne 91 000 USD v prevoditeľných digitálnych aktívach, než bol problém identifikovaný a zastavený.
Kľúčoví prispievatelia Stake DAO rýchlo konali, aby zmiernili ďalšie škody, a oznámili, že úspešne zabezpečili krytie vsdCRV na hlavnej sieti Ethereum. Vďaka rýchlemu zvládnutiu situácie predstavitelia protokolu potvrdili, že útočník nemôže získať žiadne prostriedky z hlavnej siete. Okrem toho tím deaktivoval most vsdCRV, čím úspešne obmedzil ekonomický dopad zneužitia na ekosystém Arbitrum.
„Na základe nášho súčasného posúdenia nie sú ovplyvnené výnosy Boosted, Liquid Lockers, Votemarket a pôžičky Stake DAO na Morpho,“ uviedol Stake DAO vo vyhlásení zdieľanom prostredníctvom sociálnej mediálnej platformy X.
Protokol však poznamenal, že trh Arbitrum asdCRV Llamalend bude v dôsledku incidentu natrvalo zrušený. Stake DAO odporúča používateľom, aby neinteragovali so zmluvami vsdCRV, a naliehavo vyzýva vkladateľov crvUSD, aby presunuli svoj kapitál na alternatívne, neovplyvnené trhy Llamalend.
Kritický moment pre bezpečnosť DeFi
Príslušné orgány boli informované a Stake DAO uviedlo, že spolupracuje s externými bezpečnostnými partnermi na sledovaní toku odcudzených aktív a vykonaní komplexného forenzného auditu kompromitovaných inteligentných zmlúv.
K incidentu došlo v čase, keď sa širší ekosystém DeFi snaží brániť proti virálnej téze, ktorú popularizoval spoluzakladateľ Openzeppelinu Manuel Aráoz, ktorý nedávno tvrdil, že „všetko DeFi je nebezpečné“. Aráozovo pochmúrne hodnotenie zaskočilo účastníkov odvetvia a vynútilo si zúčtovanie v sektore, ktorý je už unavený vlnou zneužitia protokolov a štrukturálnych zraniteľností. Zneužitie Stake DAO podčiarkuje Aráozovu tézu a komplikuje snahy odvetvia o obnovenie dôvery inštitucionálnych a retailových investorov.
Táto téza podnietila Openzeppelin k vydaniu vyhlásenia, v ktorom sa dištancoval od Aráoz, ktorý podľa spoločnosti opustil organizáciu v roku 2019. Openzeppelin sa tiež zaoberal kľúčovými obavami, ktoré Aráoz vyjadril, a uznal, že hoci umelá inteligencia predstavuje skutočný vektor hrozby, je zároveň aj mocným obranným nástrojom, ak sa používa „s dôslednosťou a odborným ľudským úsudkom“.
„Naši výskumníci denne využívajú umelú inteligenciu na odhaľovanie ďalších problémov a okrajových prípadov,“ uviedla spoločnosť Openzeppelin vo vyhlásení. „Odpoveďou na riziko umelej inteligencie nie je ústup od DeFi. Je ňou lepšia bezpečnosť.“
Pokiaľ ide o nedávnu vlnu bezpečnostných incidentov, spoločnosť Openzeppelin trvala na tom, že mnohé z nich možno pripísať zlyhaniam prevádzkovej bezpečnosti, a nie chybám v inteligentných zmluvách.
