Ipinag-freeze ng Stake DAO ang mga pamilihan ng vsdCRV sa Arbitrum matapos mag-mint ang umaatake ng 5.4T synthetic tokens

Ang Infinite-Minting na Butas ay Nagpasiklab ng Exploit

Kinumpirma ng decentralized finance (DeFi) platform na Stake DAO noong Mayo 27 na ang protocol nito sa Arbitrum layer-2 network ay tinarget ng isang exploit, na nagbigay-daan sa isang hindi awtorisadong partido na malisyosong mag-mint ng trilyun-trilyong synthetic token. Ayon sa paunang findings ng blockchain security firm na Blockaid, sinamantala ng umaatake ang isang infinite-minting vulnerability na konektado sa vsdCRV vault logic ng Stake DAO at sa automated reward distribution system.

Tinanggap ng kontrata ang isang invalid na state transition, na humantong sa matinding internal accounting failure. Pinayagan ng butas na ito ang umaatake na palobohin ang supply ng vsdCRV ng 5.4 trilyong yunit. Iminumungkahi ng ilang ulat na nagawa ng umaatake na mag-drain ng humigit-kumulang $91,000 sa mga naililipat na digital asset mula sa mga apektadong liquidity pool bago natukoy at napahinto ang isyu.

Mabilis na kumilos ang mga pangunahing kontribyutor ng Stake DAO upang mabawasan pa ang pinsala, at inanunsyo na matagumpay nilang naseguro ang vsdCRV backing sa Ethereum mainnet. Dahil sa mabilis na pagkokontrol, kinumpirma ng mga opisyal ng protocol na walang mga pondo sa mainnet ang maaaring makuha ng umaatake. Bukod dito, dineactivate ng team ang vsdCRV bridge, at matagumpay na nakulong ang ekonomikong epekto ng exploit sa Arbitrum ecosystem.

“Batay sa aming kasalukuyang pagtatasa, ang Boosted yields, Liquid Lockers, Votemarket & Stake DAO lending sa Morpho ay hindi apektado,” sabi ng Stake DAO sa isang pahayag na ibinahagi sa social media platform na X.

Gayunman, nabanggit ng protocol na ang Arbitrum asdCRV Llamalend market ay permanenteng isinasara kasunod ng insidente. Pinapayuhan ng Stake DAO ang mga user na huwag makipag-ugnayan sa mga vsdCRV contract at hinihikayat ang mga crvUSD depositor na ilipat ang kanilang kapital sa mga alternatibo at hindi apektadong Llamalend market.

Isang Mapanganib na Sandali para sa Seguridad ng DeFi

Naabisuhan na ang mga ahensiya ng tagapagpatupad ng batas, at sinabi ng Stake DAO na nakikipagtulungan ito sa mga panlabas na security partner upang subaybayan ang daloy ng mga ninakaw na asset at magsagawa ng komprehensibong forensic audit ng mga nakompromisong smart contract.

Dumarating ang insidente sa panahong sinusubukan ng mas malawak na DeFi ecosystem na kumontra sa isang nag-viral na tesis na pinasikat ng Openzeppelin co-founder na si Manuel Aráoz, na kamakailan ay naggiit na “hindi ligtas ang lahat ng DeFi.” Nabigla ang mga kalahok sa industriya sa madilim na pagsusuri ni Aráoz, na nag-udyok ng pagharap sa katotohanan sa loob ng isang sektor na pagod na sa isang bugso ng mga protocol exploit at mga istruktural na kahinaan. Itinatampok ng Stake DAO exploit ang tesis ni Aráoz, na lalo pang pinapahirap ang pagsisikap ng industriya na maibalik ang kumpiyansa ng mga institusyon at retail.

Ang tesis ay nag-udyok sa Openzeppelin na maglabas ng pahayag na inilalayo nito ang sarili kay Aráoz, na ayon sa kumpanya ay umalis sa organisasyon noong 2019. Tinalakay rin ng Openzeppelin ang mga pangunahing alalahaning ibinangon ni Aráoz, kinikilala na habang ang artificial intelligence ay isang tunay na threat vector, isa rin itong makapangyarihang defensive tool kapag ginamit “nang may higpit at ekspertong paghatol ng tao.”

“Gumagamit ang aming mga mananaliksik ng AI araw-araw upang makahuli ng mas maraming isyu at edge case,” sabi ng Openzeppelin sa isang pahayag. “Ang sagot sa AI risk ay hindi pag-atras mula sa DeFi. Ito ay mas mahusay na seguridad.”

Tungkol naman sa mga kamakailang sunod-sunod na insidente sa seguridad, iginiit ng Openzeppelin na marami sa mga ito ay maaaring maiugnay sa mga pagkabigo sa operational security, sa halip na mga bug sa smart contract.