Stake DAO je zamrznil trge Arbitrum vsdCRV, potem ko je napadalec izdal 5,4 bilijona sintetičnih žetonov

Varnostna luknja za neskončno kovanje sproži izkoriščanje

Platforma za decentralizirano financiranje (DeFi) Stake DAO je 27. maja potrdila, da je bil njen protokol v omrežju Arbitrum layer-2 tarča izkoriščanja, ki je nepooblaščeni stranki omogočilo zlonamerno kovanje bilijonov sintetičnih žetonov. Glede na predhodne ugotovitve podjetja za varnost blokovnih verig Blockaid je napadalec izkoristil ranljivost neskončnega kovanja, povezano z logiko trezorja vsdCRV in avtomatiziranim sistemom razdeljevanja nagrad Stake DAO.

Pogodba je sprejela neveljaven prehod med stanji, kar je povzročilo hudo notranjo računovodsko napako. Ta varnostna luknja je napadalcu omogočila, da je povečal ponudbo vsdCRV za 5,4 bilijona enot. Nekateri poročila kažejo, da je napadalec uspel iz zadevnih likvidnostnih skladov izčrpati približno 91.000 dolarjev prenosljivih digitalnih sredstev, preden je bila težava odkrita in ustavljena.

Ključni sodelavci Stake DAO so hitro ukrepali, da bi ublažili nadaljnjo škodo, in napovedali, da so uspešno zavarovali kritje vsdCRV na glavnem omrežju Ethereum. Zaradi hitrega obvladovanja so predstavniki protokola potrdili, da napadalec ne more zasesti nobenih sredstev na glavnem omrežju. Poleg tega je ekipa deaktivirala most vsdCRV in tako uspešno omejila gospodarski vpliv izkoriščanja na ekosistem Arbitrum.

»Glede na našo trenutno oceno, povečani donosi, Liquid Lockers, Votemarket in posojila Stake DAO na Morpho niso prizadeti,« je v izjavi, objavljeni prek platforme družbenih medijev X, navedel Stake DAO.

Protokol je vendar opozoril, da bo trg Arbitrum asdCRV Llamalend zaradi incidenta trajno ukinjen. Stake DAO je uporabnikom svetoval, naj ne sodelujejo s pogodbami vsdCRV, in vlagatelje crvUSD poziva, naj svoj kapital prenesejo na alternativne, neprizadete trge Llamalend.

Negotov trenutek za varnost DeFi

Pristojni organi so bili obveščeni, Stake DAO pa je sporočil, da sodeluje z zunanjimi varnostnimi partnerji pri sledenju toka ukradenih sredstev in izvajanju celovite forenzične revizije ogroženih pametnih pogodb.

Incident se je zgodil v času, ko širši ekosistem DeFi poskuša zavrniti viralno tezo, ki jo je populariziral soustanovitelj Openzeppelina Manuel Aráoz, ki je nedavno trdil, da je »vse DeFi nevarno«. Aráozova mračna ocena je osupnila udeležence v industriji in prisilila k premisleku v sektorju, ki je že utrujen od vala izkoriščanja protokolov in strukturnih ranljivosti. Izkoriščanje Stake DAO potrjuje Aráozovo tezo in otežuje prizadevanja industrije za ponovno vzpostavitev zaupanja institucionalnih in maloprodajnih vlagateljev.

Teza je Openzeppelin spodbudila, da je izdal izjavo, s katero se je distanciral od Aráoz, ki je po navedbah podjetja organizacijo zapustil leta 2019. Openzeppelin se je odzval tudi na ključne pomisleke, ki jih je izpostavil Aráoz, in priznal, da je umetna inteligenca sicer resnični vektor grožnje, vendar je tudi močno obrambno orodje, če se uporablja »strogo in s strokovno človeško presojo«.

»Naši raziskovalci vsak dan uporabljajo umetno inteligenco, da odkrijejo več težav in mejnih primerov,« je v izjavi navedlo podjetje Openzeppelin. »Odgovor na tveganje umetne inteligence ni umik iz DeFi. Je boljša varnost.«

Glede nedavne serije varnostnih incidentov je podjetje Openzeppelin vztrajalo, da je mogoče mnoge od njih pripisati operativnim varnostnim napakam, ne pa napakam v pametnih pogodbah.