Stake DAO 冻结 Arbitrum 上的 vsdCRV 交易对，此前有攻击者铸造了 5.4 万亿枚合成代币

无限铸造漏洞引发攻击

去中心化金融（DeFi）平台 Stake DAO 于 5 月 27 日确认，其部署在 Arbitrum 第二层网络上的协议遭到攻击，导致未经授权的第三方恶意铸造了数万亿枚合成代币。根据区块链安全公司 Blockaid 的初步调查结果，攻击者利用了与 Stake DAO 的 vsdCRV 金库逻辑及自动化奖励分配系统相关的无限铸造漏洞。

合约接受了无效的状态转换，导致严重的内部记账故障。这一漏洞使攻击者得以将vsdCRV的供应量膨胀了5.4万亿单位。有报道称，在问题被发现并阻止之前，攻击者已从受影响的流动性池中转移了约9.1万美元的可转移数字资产。

Stake DAO核心贡献者迅速采取行动以减轻进一步损失，宣布已成功在以太坊主网上确保了vsdCRV的储备金。由于迅速采取了控制措施，协议官员确认攻击者无法劫持任何主网资金。此外，团队已停用vsdCRV桥，成功将此次漏洞的经济影响限制在Arbitrum生态系统内。

“根据我们目前的评估，Morpho 平台上的 Boosted 收益、Liquid Lockers、Votemarket 及 Stake DAO 借贷业务均未受影响，”Stake DAO 在社交媒体平台 X 上发布的声明中表示。

不过，该协议指出，受此次事件影响，Arbitrum上的asdCRV Llamalend市场将永久关闭。Stake DAO建议用户不要与vsdCRV合约进行交互，并敦促crvUSD存入者将其资金转移至其他未受影响的Llamalend市场。

DeFi 安全面临严峻考验

相关执法机构已收到通报，Stake DAO表示正与外部安全合作伙伴协作，追踪被盗资产流向，并对受损智能合约进行全面的取证审计。 此次事件发生之际，更广泛的DeFi生态系统正试图反驳Openzeppelin联合创始人曼努埃尔·阿劳兹（Manuel Aráoz）提出的广为流传的观点——他近期曾断言“所有DeFi都是不安全的”。 阿劳兹的严峻评估令业界震惊，迫使这个本已因一波又一波的协议漏洞和结构性缺陷而疲惫不堪的领域进行深刻反思。Stake DAO 遭攻击事件印证了阿劳兹的论点，使行业恢复机构和散户信心的努力变得更加复杂。

这一论点促使Openzeppelin发布声明，与阿劳兹划清界限，该公司表示阿劳兹已于2019年离开组织。Openzeppelin还回应了阿劳兹提出的关键担忧，承认虽然人工智能确实是一种威胁载体，但若“结合严谨的流程和专家的人为判断”加以运用，它也是一种强大的防御工具。

“我们的研究人员每天都在使用人工智能来发现更多问题和边界案例，”Openzeppelin在声明中表示。“应对人工智能风险的答案不是退缩于DeFi，而是加强安全防护。” 谈及近期频发的安全事件，Openzeppelin坚称其中许多可追溯至运营安全失误，而非智能合约漏洞。