27 травня децентралізована фінансова платформа Stake DAO зазнала атаки з використанням уразливості, що дозволяла безмежно випускати токени, у своєму протоколі Arbitrum. Однак основні розробники Stake DAO швидко забезпечили захист коштів у мейннеті, що забезпечують токени, відключили міст vsdCRV та успішно локалізували наслідки атаки.
Stake DAO призупинило роботу ринків vsdCRV на Arbitrum після того, як зловмисник випустив 5,4 трлн синтетичних токенів
АВТОР
ПОДІЛИТИСЯ
Ключові висновки
- 27 травня Stake DAO зазнала атаки з безкінечним випуском монет на Arbitrum, в результаті якої, за повідомленнями, зловмисник вивів 91 000 доларів у цифрових активах.
- Ця атака підживила бурхливу дискусію щодо безпеки DeFi, яку розпочав співзасновник Openzeppelin Мануель Араоз.
- Stake DAO припиняє роботу ринку Arbitrum asdCRV Llamalend та співпрацює з правоохоронними органами.
Лазівка в системі «нескінченного карбування» спричинила експлойт
Платформа децентралізованих фінансів (DeFi) Stake DAO підтвердила 27 травня, що її протокол у мережі Arbitrum layer-2 став жертвою експлойта, що дозволило неавторизованій стороні зловмисно випустити трильйони синтетичних токенів. Згідно з попередніми висновками компанії з безпеки блокчейнів Blockaid, зловмисник скористався вразливістю «нескінченного випуску», пов’язаною з логікою сховища vsdCRV та автоматизованою системою розподілу винагород Stake DAO.
Контракт прийняв недійсний перехід стану, що призвело до серйозної внутрішньої помилки в обліку. Ця лазівка дозволила зловмиснику збільшити пропозицію vsdCRV на 5,4 трильйона одиниць. Деякі звіти вказують на те, що зловмисник зміг вивести приблизно 91 000 доларів у вигляді переказних цифрових активів з уражених пулів ліквідності, перш ніж проблему було виявлено та зупинено.
Основні учасники Stake DAO швидко вжили заходів для мінімізації подальших збитків, оголосивши, що їм вдалося успішно забезпечити підтримку vsdCRV у основній мережі Ethereum. Завдяки швидкому локалізуванню проблеми представники протоколу підтвердили, що зловмисник не зможе заволодіти жодними коштами з основної мережі. Крім того, команда деактивувала міст vsdCRV, успішно обмеживши економічний вплив експлойта екосистемою Arbitrum.
«За нашою поточною оцінкою, Boosted yields, Liquid Lockers, Votemarket та кредитування Stake DAO на Morpho не зазнали впливу», — зазначила Stake DAO у заяві, опублікованій через соціальну мережу X.
Проте протокол зазначив, що ринок Arbitrum asdCRV Llamalend буде остаточно закрито внаслідок інциденту. Stake DAO порадив користувачам не взаємодіяти з контрактами vsdCRV і закликає вкладників crvUSD перенести свій капітал на альтернативні ринки Llamalend, які не зазнали впливу.
Небезпечний момент для безпеки DeFi
Про інцидент повідомлено правоохоронні органи, а Stake DAO заявила, що співпрацює з зовнішніми партнерами з безпеки, щоб відстежити рух викрадених активів та провести комплексний криміналістичний аудит скомпрометованих смарт-контрактів.
Інцидент стався в той час, коли ширша екосистема DeFi намагається протистояти вірусній тезі, популяризованій співзасновником Openzeppelin Мануелем Араозом, який нещодавно заявив, що «уся DeFi є небезпечною». Похмура оцінка Араоза приголомшила учасників галузі, змусивши замислитися сектор, який і без того був виснажений хвилею зловживань протоколів та структурних вразливостей. Зловживання в Stake DAO підкреслює тезу Араоза, ускладнюючи зусилля галузі щодо відновлення довіри інституційних та роздрібних інвесторів.
Ця теза спонукала Openzeppelin опублікувати заяву, в якій компанія дистанціювалася від Араоза, який, за її словами, залишив організацію у 2019 році. Openzeppelin також відповіла на основні занепокоєння, висловлені Араозом, визнавши, що хоча штучний інтелект є реальним вектором загрози, він також є потужним оборонним інструментом, якщо його використовувати «суворо та з експертним людським судженням».
«Наші дослідники щодня використовують ШІ, щоб виявляти більше проблем і крайніх випадків», — йдеться у заяві Openzeppelin. «Відповіддю на ризики ШІ є не відхід від DeFi, а покращення безпеки».
Що стосується нещодавньої хвилі інцидентів з безпекою, Openzeppelin наголосила, що багато з них можна пов’язати з оперативними прогалинами в безпеці, а не з помилками у смарт-контрактах.
