เมื่อวันที่ 27 พฤษภาคม แพลตฟอร์มการเงินแบบกระจายศูนย์ Stake DAO เผชิญการโจมตีช่องโหว่การมิ้นต์แบบไม่สิ้นสุด (infinite-minting) บนโปรโตคอล Arbitrum อย่างไรก็ตาม ผู้มีส่วนร่วมหลักของ Stake DAO ได้รีบปกป้องเงินบนเมนเน็ตที่ใช้หนุนหลังโทเคน ปิดสะพานเชื่อม vsdCRV และควบคุมเหตุการณ์ได้สำเร็จ
Stake DAO ระงับตลาด vsdCRV บน Arbitrum หลังผู้โจมตีทำการมินต์โทเค็นสังเคราะห์ 5.4 ล้านล้านโทเค็น
เขียนโดย
แชร์
ประเด็นสำคัญ
- Stake DAO ประสบเหตุโจมตีแบบ infinite-mint บน Arbitrum เมื่อวันที่ 27 พฤษภาคม ซึ่งมีรายงานว่าผู้โจมตีดูดสินทรัพย์ดิจิทัลมูลค่า 91,000 ดอลลาร์สหรัฐออกไป
- การละเมิดครั้งนี้ยิ่งทำให้การถกเถียงเรื่องความปลอดภัยของ DeFi แพร่กระจายเป็นวงกว้าง ซึ่งจุดชนวนโดย Manuel Aráoz ผู้ร่วมก่อตั้ง Openzeppelin
- Stake DAO กำลังยุติตลาด Arbitrum asdCRV Llamalend และทำงานร่วมกับหน่วยงานบังคับใช้กฎหมาย
ช่องโหว่การมิ้นต์แบบไม่สิ้นสุดจุดชนวนการโจมตี
Stake DAO แพลตฟอร์มการเงินแบบกระจายศูนย์ (DeFi) ยืนยันเมื่อวันที่ 27 พฤษภาคมว่า โปรโตคอลของตนบนเครือข่ายเลเยอร์ 2 Arbitrum ถูกโจมตีด้วยช่องโหว่ ทำให้ผู้ไม่หวังดีสามารถมิ้นต์โทเคนสังเคราะห์จำนวนมหาศาลระดับล้านล้านได้โดยไม่ได้รับอนุญาต ตามข้อค้นพบเบื้องต้นจากบริษัทความปลอดภัยบล็อกเชน Blockaid ผู้โจมตีใช้ประโยชน์จากช่องโหว่การมิ้นต์แบบไม่สิ้นสุดที่เชื่อมโยงกับตรรกะวอลต์ vsdCRV ของ Stake DAO และระบบกระจายรางวัลอัตโนมัติ
สัญญาอัจฉริยะยอมรับการเปลี่ยนผ่านสถานะที่ไม่ถูกต้อง ส่งผลให้เกิดความล้มเหลวรุนแรงด้านการบันทึกบัญชีภายใน ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเพิ่มอุปทานของ vsdCRV ได้ 5.4 ล้านล้านหน่วย รายงานบางฉบับระบุว่าผู้โจมตีสามารถดูดสินทรัพย์ดิจิทัลที่โอนย้ายได้จากพูลสภาพคล่องที่ได้รับผลกระทบไปประมาณ 91,000 ดอลลาร์สหรัฐ ก่อนที่ปัญหาจะถูกตรวจพบและหยุดยั้ง
ผู้มีส่วนร่วมหลักของ Stake DAO ดำเนินการอย่างรวดเร็วเพื่อลดความเสียหายเพิ่มเติม โดยประกาศว่าพวกเขาได้ปกป้องหลักประกัน vsdCRV บน Ethereum mainnet ได้สำเร็จ เนื่องจากการควบคุมเหตุการณ์อย่างรวดเร็ว เจ้าหน้าที่โปรโตคอลยืนยันว่าเงินบนเมนเน็ตไม่สามารถถูกผู้โจมตียึดไปได้ นอกจากนี้ ทีมงานได้ปิดใช้งานสะพานเชื่อม vsdCRV ส่งผลให้ผลกระทบเชิงเศรษฐกิจของการโจมตีถูกจำกัดไว้ภายในระบบนิเวศ Arbitrum
“จากการประเมินปัจจุบันของเรา Boosted yields, Liquid Lockers, Votemarket และการปล่อยกู้ Stake DAO บน Morpho ไม่ได้รับผลกระทบ” Stake DAO ระบุในแถลงการณ์ที่เผยแพร่ผ่านแพลตฟอร์มโซเชียลมีเดีย X
อย่างไรก็ตาม โปรโตคอลระบุว่าตลาด Arbitrum asdCRV Llamalend กำลังถูกยุติใช้งานอย่างถาวรหลังเหตุการณ์นี้ Stake DAO แนะนำให้ผู้ใช้ไม่โต้ตอบกับสัญญา vsdCRV และกำลังขอให้ผู้ฝาก crvUSD ย้ายเงินทุนไปยังตลาด Llamalend ทางเลือกที่ไม่ได้รับผลกระทบ
จุดหัวเลี้ยวหัวต่อที่เปราะบางสำหรับความปลอดภัยของ DeFi
หน่วยงานบังคับใช้กฎหมายได้รับการแจ้งแล้ว และ Stake DAO ระบุว่ากำลังร่วมมือกับพาร์ทเนอร์ด้านความปลอดภัยภายนอกเพื่อติดตามเส้นทางการไหลของสินทรัพย์ที่ถูกขโมย และดำเนินการตรวจสอบนิติวิทยาศาสตร์อย่างครอบคลุมกับสัญญาอัจฉริยะที่ถูกเจาะ
ช่วงเวลาของเหตุการณ์เกิดขึ้นขณะที่ระบบนิเวศ DeFi โดยรวมพยายามโต้กลับต่อแนวคิดที่แพร่กระจายเป็นวงกว้างซึ่งถูกทำให้โด่งดังโดย Manuel Aráoz ผู้ร่วมก่อตั้ง Openzeppelin ที่เพิ่งยืนยันว่า “DeFi ทั้งหมดไม่ปลอดภัย” การประเมินเชิงหดหู่ของ Aráoz ทำให้ผู้เล่นในอุตสาหกรรมตกตะลึง และบีบให้เกิดการทบทวนอย่างจริงจังในภาคส่วนที่เหนื่อยล้ากับระลอกของการโจมตีโปรโตคอลและช่องโหว่เชิงโครงสร้างอยู่แล้ว เหตุโจมตี Stake DAO ยิ่งตอกย้ำแนวคิดของ Aráoz ทำให้ความพยายามของอุตสาหกรรมในการฟื้นความเชื่อมั่นทั้งจากสถาบันและรายย่อยซับซ้อนยิ่งขึ้น
แนวคิดดังกล่าวกระตุ้นให้ Openzeppelin ออกแถลงการณ์เพื่อเว้นระยะห่างจาก Aráoz โดยบริษัทระบุว่าเขาออกจากองค์กรไปตั้งแต่ปี 2019 Openzeppelin ยังได้ตอบประเด็นกังวลหลักที่ Aráoz ยกขึ้นมา โดยยอมรับว่าแม้ปัญญาประดิษฐ์จะเป็นช่องทางความเสี่ยงที่แท้จริง แต่ก็เป็นเครื่องมือป้องกันที่ทรงพลังเมื่อใช้อย่าง “เคร่งครัดและด้วยดุลยพินิจของผู้เชี่ยวชาญมนุษย์”
“นักวิจัยของเราใช้ AI ทุกวันเพื่อจับปัญหาและกรณีขอบ (edge cases) ได้มากขึ้น” Openzeppelin กล่าวในแถลงการณ์ “คำตอบต่อความเสี่ยงจาก AI ไม่ใช่การถอยห่างจาก DeFi แต่คือความปลอดภัยที่ดีกว่า”
เมื่อกล่าวถึงเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นถี่ในช่วงหลัง Openzeppelin ยืนยันว่าหลายกรณีสามารถสืบย้อนไปถึงความล้มเหลวด้านความปลอดภัยเชิงปฏิบัติการ มากกว่าบั๊กของสัญญาอัจฉริยะ
