Stake DAO, Saldırganın 5,4 Trilyon Sentetik Token Basmasının Ardından Arbitrum'daki vsdCRV Piyasalarını Dondurdu

Sonsuz Basım Açığı Saldırıyı Tetikledi

Merkezi olmayan finans (DeFi) platformu Stake DAO, 27 Mayıs'ta Arbitrum katman-2 ağındaki protokolünün bir istismara maruz kaldığını ve yetkisiz bir tarafın kötü niyetle trilyonlarca sentetik token basmasına olanak sağladığını doğruladı. Blockchain güvenlik firması Blockaid'in ön bulgularına göre, saldırgan, Stake DAO'nun vsdCRV kasası mantığı ve otomatik ödül dağıtım sistemiyle bağlantılı bir sonsuz basım güvenlik açığından yararlandı.

Sözleşme, geçersiz bir durum geçişini kabul etti ve bu da ciddi bir iç muhasebe hatasına yol açtı. Bu açık, saldırganın vsdCRV arzını 5,4 trilyon birim artırmasına olanak tanıdı. Bazı raporlar, saldırganın sorun tespit edilip durdurulmadan önce etkilenen likidite havuzlarından yaklaşık 91.000 dolarlık transfer edilebilir dijital varlığı çekebildiğini öne sürüyor.

Stake DAO'nun çekirdek katkıcıları, daha fazla zararı önlemek için hızlıca harekete geçti ve Ethereum ana ağındaki vsdCRV desteğini başarıyla güvence altına aldıklarını duyurdu. Hızlı müdahale sayesinde protokol yetkilileri, saldırganın ana ağdaki fonlara el koyamayacağını doğruladı. Ayrıca ekip, vsdCRV köprüsünü devre dışı bırakarak, bu istismarın ekonomik etkisini Arbitrum ekosistemiyle sınırlamayı başardı.

Stake DAO, sosyal medya platformu X üzerinden paylaştığı bir açıklamada, "Mevcut değerlendirmemize göre, Morpho'daki Boosted yields, Liquid Lockers, Votemarket ve Stake DAO kredileri etkilenmemiştir" dedi.

Ancak protokol, olayın ardından Arbitrum asdCRV Llamalend pazarının kalıcı olarak kapatılacağını belirtti. Stake DAO, kullanıcılara vsdCRV sözleşmeleriyle etkileşime girmemelerini tavsiye etti ve crvUSD yatırıcılarını, sermayelerini etkilenmemiş alternatif Llamalend pazarlarına aktarmaları için teşvik ediyor.

DeFi Güvenliği İçin Tehlikeli Bir Dönem

Kolluk kuvvetleri bilgilendirildi ve Stake DAO, çalınan varlıkların akışını takip etmek ve güvenliği ihlal edilen akıllı sözleşmeler üzerinde kapsamlı bir adli denetim gerçekleştirmek için harici güvenlik ortaklarıyla işbirliği yaptığını belirtti.

Olayın zamanlaması, daha geniş DeFi ekosisteminin, Openzeppelin kurucu ortağı Manuel Aráoz tarafından popüler hale getirilen ve yakın zamanda "tüm DeFi güvensizdir" iddiasını içeren viral teze karşı koymaya çalıştığı bir döneme denk geliyor. Aráoz’un karamsar değerlendirmesi sektör katılımcılarını şaşkına çevirdi ve zaten bir dizi protokol istismarı ve yapısal güvenlik açığı dalgasıyla yorgun düşmüş olan sektörde bir hesaplaşma sürecini tetikledi. Stake DAO istismarı, Aráoz’un tezini doğruluyor ve sektörün kurumsal ve bireysel yatırımcıların güvenini geri kazanma çabalarını zorlaştırıyor.

Bu tez, Openzeppelin'i Aráoz'dan uzaklaşan bir açıklama yapmaya sevk etti; şirket, Aráoz'un 2019 yılında organizasyondan ayrıldığını belirtti. Openzeppelin ayrıca Aráoz'un dile getirdiği temel endişelere de değindi ve yapay zekanın gerçek bir tehdit vektörü olmakla birlikte, "titizlik ve uzman insan yargısı ile" kullanıldığında güçlü bir savunma aracı olduğunu kabul etti.

Openzeppelin yaptığı açıklamada, "Araştırmacılarımız daha fazla sorunu ve sınır durumlarını tespit etmek için her gün yapay zeka kullanıyor" dedi. "Yapay zeka riskine karşı çözüm, DeFi'den uzaklaşmak değil, daha iyi güvenlik sağlamaktır."

Son zamanlarda yaşanan güvenlik olaylarına değinen Openzeppelin, bunların çoğunun akıllı sözleşme hatalarından ziyade operasyonel güvenlik hatalarına dayandığını vurguladı.