Stake DAO tạm ngừng các thị trường vsdCRV trên Arbitrum sau khi kẻ tấn công phát hành 5,4 nghìn tỷ token tổng hợp

Lỗ hổng đúc tiền vô hạn gây ra vụ khai thác

Nền tảng tài chính phi tập trung (DeFi) Stake DAO xác nhận vào ngày 27 tháng 5 rằng giao thức của họ trên mạng lưới layer-2 Arbitrum đã bị tấn công, cho phép một bên không được ủy quyền tạo ra hàng nghìn tỷ token tổng hợp một cách độc hại. Theo kết quả điều tra ban đầu của công ty an ninh blockchain Blockaid, kẻ tấn công đã lợi dụng lỗ hổng "infinite-minting" liên quan đến logic kho vsdCRV và hệ thống phân phối phần thưởng tự động của Stake DAO.

Hợp đồng đã chấp nhận một trạng thái chuyển đổi không hợp lệ, dẫn đến sự cố kế toán nội bộ nghiêm trọng. Lỗ hổng này cho phép kẻ tấn công làm tăng nguồn cung vsdCRV lên 5,4 nghìn tỷ đơn vị. Một số báo cáo cho biết kẻ tấn công đã rút khoảng $91.000 tài sản kỹ thuật số có thể chuyển nhượng từ các bể thanh khoản bị ảnh hưởng trước khi vấn đề được phát hiện và ngăn chặn.

Các thành viên cốt lõi của Stake DAO đã nhanh chóng hành động để giảm thiểu thiệt hại thêm, thông báo rằng họ đã thành công trong việc bảo đảm tài sản thế chấp cho vsdCRV trên mạng chính Ethereum. Nhờ việc kiểm soát nhanh chóng, các quan chức giao thức xác nhận rằng kẻ tấn công không thể chiếm đoạt bất kỳ quỹ nào trên mạng chính. Ngoài ra, đội ngũ đã vô hiệu hóa cầu nối vsdCRV, thành công trong việc giới hạn tác động kinh tế của lỗ hổng trong hệ sinh thái Arbitrum.

"Dựa trên đánh giá hiện tại của chúng tôi, các sản phẩm Boosted yields, Liquid Lockers, Votemarket và dịch vụ cho vay của Stake DAO trên Morpho không bị ảnh hưởng," Stake DAO cho biết trong một tuyên bố được chia sẻ qua nền tảng mạng xã hội X.

Tuy nhiên, giao thức này lưu ý rằng thị trường Arbitrum asdCRV Llamalend sẽ bị đóng cửa vĩnh viễn sau sự cố này. Stake DAO đã khuyến cáo người dùng không tương tác với các hợp đồng vsdCRV và kêu gọi những người gửi tiền crvUSD chuyển vốn của họ sang các thị trường Llamalend thay thế, không bị ảnh hưởng.

Một thời điểm nguy hiểm đối với an ninh DeFi

Các cơ quan thực thi pháp luật đã được thông báo, và Stake DAO cho biết họ đang hợp tác với các đối tác an ninh bên ngoài để theo dõi dòng chảy của tài sản bị đánh cắp và tiến hành một cuộc kiểm toán pháp y toàn diện đối với các hợp đồng thông minh bị xâm phạm.

Thời điểm xảy ra sự cố diễn ra trong bối cảnh hệ sinh thái DeFi rộng lớn đang cố gắng phản bác một luận điểm lan truyền do Manuel Aráoz, đồng sáng lập Openzeppelin, đưa ra, người gần đây khẳng định rằng "tất cả DeFi đều không an toàn." Đánh giá u ám của Aráoz đã gây sốc cho các bên tham gia ngành, buộc ngành này phải đối mặt với thực tế trong bối cảnh đã mệt mỏi vì làn sóng khai thác giao thức và các lỗ hổng cấu trúc. Vụ khai thác Stake DAO càng củng cố luận điểm của Aráoz, làm phức tạp nỗ lực của ngành trong việc khôi phục niềm tin của các tổ chức và nhà đầu tư cá nhân.

Thuyết này đã khiến Openzeppelin phải ra tuyên bố tách biệt mình khỏi Aráoz, người mà công ty cho biết đã rời tổ chức vào năm 2019. Openzeppelin cũng giải quyết các lo ngại chính do Aráoz nêu ra, thừa nhận rằng mặc dù trí tuệ nhân tạo (AI) là một vector đe dọa thực sự, nhưng nó cũng là một công cụ phòng thủ mạnh mẽ khi được sử dụng "với sự nghiêm ngặt và phán đoán chuyên môn của con người."

"Các nhà nghiên cứu của chúng tôi sử dụng AI hàng ngày để phát hiện thêm các vấn đề và các trường hợp ngoại lệ," Openzeppelin cho biết trong một tuyên bố. "Câu trả lời cho rủi ro AI không phải là rút lui khỏi DeFi. Mà là bảo mật tốt hơn."

Chuyển sang loạt sự cố bảo mật gần đây, Openzeppelin khẳng định nhiều sự cố trong số này có thể bắt nguồn từ các lỗi bảo mật vận hành, chứ không phải do lỗi hợp đồng thông minh.