Den 27 maj drabbades den decentraliserade finansplattformen Stake DAO av en säkerhetsbrist som möjliggjorde oändlig myntning på dess Arbitrum-protokoll. Stake DAO:s huvudutvecklare säkrade dock snabbt de medel i mainnet som stod bakom tokenen, stängde ner vsdCRV-bron och lyckades begränsa skadan.
Stake DAO stänger Arbitrum-marknaderna för vsdCRV efter att en angripare skapat 5,4 biljoner syntetiska tokens
SKRIVEN AV
DELA
Viktiga punkter
- Stake DAO drabbades av en exploit med oändlig myntning på Arbitrum den 27 maj, vilket enligt uppgift ledde till att angriparen tömde 91 000 dollar i digitala tillgångar.
- Intrånget har gett bränsle åt en viral debatt om DeFi-säkerhet som startades av Openzeppelins medgrundare Manuel Aráoz.
- Stake DAO avvecklar Arbitrum asdCRV Llamalend-marknaden och samarbetar med rättsväsendet.
Säkerhetshål för oändlig myntning utlöser attack
Den decentraliserade finansplattformen (DeFi) Stake DAO bekräftade den 27 maj att dess protokoll på Arbitrums layer-2-nätverk utsattes för en attack, vilket gjorde det möjligt för en obehörig part att på ett illvilligt sätt skapa biljoner syntetiska tokens. Enligt preliminära slutsatser från blockkedjesäkerhetsföretaget Blockaid utnyttjade angriparen en sårbarhet för oändlig myntning kopplad till Stake DAO:s vsdCRV-valvlogik och automatiserade belöningsdistributionssystem.
Kontraktet accepterade en ogiltig tillståndsövergång, vilket ledde till ett allvarligt internt bokföringsfel. Detta kryphål gjorde det möjligt för angriparen att öka utbudet av vsdCRV med 5,4 biljoner enheter. Vissa rapporter tyder på att angriparen lyckades tömma cirka 91 000 dollar i överförbara digitala tillgångar från de drabbade likviditetspoolerna innan problemet upptäcktes och stoppades.
Stake DAO:s kärnmedlemmar agerade snabbt för att begränsa ytterligare skador och meddelade att de framgångsrikt hade säkrat vsdCRV-stöd på Ethereums mainnet. Tack vare den snabba insatsen bekräftade protokollansvariga att inga mainnet-medel kan beslagtas av angriparen. Dessutom inaktiverade teamet vsdCRV-bron, vilket framgångsrikt begränsade exploateringens ekonomiska påverkan till Arbitrum-ekosystemet.
"Baserat på vår nuvarande bedömning påverkas inte Boosted yields, Liquid Lockers, Votemarket och Stake DAO-utlåning på Morpho", sade Stake DAO i ett uttalande som delades via den sociala medieplattformen X.
Protokollet noterade dock att Arbitrum asdCRV Llamalend-marknaden stängs ner permanent till följd av incidenten. Stake DAO har rått användare att inte interagera med vsdCRV-kontrakt och uppmanar crvUSD-insättare att flytta sitt kapital till alternativa, opåverkade Llamalend-marknader.
En prekär situation för DeFi-säkerheten
Brottsbekämpande myndigheter har underrättats, och Stake DAO uppger att man samarbetar med externa säkerhetspartner för att spåra flödet av stulna tillgångar och genomföra en omfattande forensisk granskning av de komprometterade smarta kontrakten.
Tidpunkten för incidenten sammanfaller med att det bredare DeFi-ekosystemet försöker motverka en viral tes som populariserats av Openzeppelins medgrundare Manuel Aráoz, som nyligen hävdade att "all DeFi är osäker". Aráoz dystra bedömning chockade branschaktörerna och tvingade fram en uppgörelse inom en sektor som redan var utmattad av en våg av protokollutnyttjanden och strukturella sårbarheter. Utnyttjandet av Stake DAO understryker Aráoz tes och komplicerar branschens ansträngningar att återställa institutionellt och privat förtroende.
Tesen fick Openzeppelin att utfärda ett uttalande där man tog avstånd från Aráoz, som enligt företaget lämnade organisationen 2019. Openzeppelin bemötte också de viktigaste farhågorna som Aráoz lyfte fram och erkände att även om artificiell intelligens är en verklig hotfaktor, är den också ett kraftfullt försvarsverktyg när den används ”med noggrannhet och expertmässigt mänskligt omdöme”.
”Våra forskare använder AI dagligen för att upptäcka fler problem och gränsfall”, sade Openzeppelin i ett uttalande. ”Svaret på AI-risken är inte att dra sig tillbaka från DeFi. Det är bättre säkerhet.”
När det gäller den senaste tidens flod av säkerhetsincidenter insisterade Openzeppelin på att många av dessa kan spåras tillbaka till operativa säkerhetsfel, snarare än buggar i smarta kontrakt.
