Stake DAO congela los mercados de vsdCRV de Arbitrum después de que el atacante acuñara 5,4 billones de tokens sintéticos

El 27 de mayo, la plataforma de finanzas descentralizadas Stake DAO sufrió un exploit de acuñación infinita en su protocolo de Arbitrum. Sin embargo, los principales contribuidores de Stake DAO aseguraron rápidamente los fondos de la mainnet que respaldan los tokens, cerraron el puente vsdCRV y contuvieron con éxito el exploit.

• Conclusiones clave:
• • Stake DAO sufrió un exploit de acuñación infinita en Arbitrum el 27 de mayo que, según se informó, permitió al atacante drenar 91.000 dólares en activos digitales.
• • La brecha alimenta un debate viral sobre la seguridad en DeFi impulsado por el cofundador de Openzeppelin, Manuel Aráoz.
• • Stake DAO está retirando gradualmente el mercado asdCRV Llamalend de Arbitrum y trabajando con las fuerzas del orden.

Un atajo de acuñación infinita dispara el exploit

Finanzas descentralizadas (DeFi), la plataforma Stake DAO confirmó el 27 de mayo que su protocolo en la red de capa 2 de Arbitrum fue objetivo de un exploit, que permitió a una parte no autorizada acuñar maliciosamente billones de tokens sintéticos. Según hallazgos preliminares de la firma de seguridad blockchain Blockaid, el atacante aprovechó una vulnerabilidad de acuñación infinita vinculada a la lógica del vault vsdCRV de Stake DAO y al sistema automatizado de distribución de recompensas.

El contrato aceptó una transición de estado inválida, lo que provocó un fallo contable interno grave. Este atajo permitió al atacante inflar el suministro de vsdCRV en 5,4 billones de unidades. Algunos informes sugieren que el atacante pudo drenar aproximadamente 91.000 dólares en activos digitales transferibles de los pools de liquidez afectados antes de que el problema se identificara y se detuviera.

Los contribuidores principales de Stake DAO actuaron con rapidez para mitigar daños adicionales, anunciando que habían asegurado con éxito el respaldo de vsdCRV en la mainnet de Ethereum. Debido a la contención rápida, los funcionarios del protocolo confirmaron que el atacante no puede incautar fondos de la mainnet. Además, el equipo desactivó el puente vsdCRV, confinando con éxito el impacto económico del exploit al ecosistema de Arbitrum.

“Con base en nuestra evaluación actual, los rendimientos potenciados, Liquid Lockers, Votemarket y el préstamo de Stake DAO en Morpho no se ven afectados”, dijo Stake DAO en un comunicado compartido vía la plataforma de redes sociales X.

El protocolo señaló, sin embargo, que el mercado asdCRV Llamalend de Arbitrum se retirará permanentemente tras el incidente. Stake DAO aconsejó a los usuarios no interactuar con los contratos de vsdCRV y está instando a los depositantes de crvUSD a trasladar su capital a mercados alternativos de Llamalend que no se vean afectados.

Un momento delicado para la seguridad en DeFi

Las agencias encargadas del cumplimiento de la ley han sido notificadas, y Stake DAO dijo que está colaborando con socios externos de seguridad para rastrear el flujo de los activos robados y realizar una auditoría forense integral de los contratos inteligentes comprometidos.

El momento del incidente llega mientras el ecosistema DeFi más amplio intenta contrarrestar una tesis viral popularizada por el cofundador de Openzeppelin, Manuel Aráoz, quien recientemente afirmó que “todo DeFi es inseguro”. La sombría evaluación de Aráoz dejó atónitos a los participantes de la industria, obligando a una revisión en un sector que ya está agotado por una ola de exploits de protocolos y vulnerabilidades estructurales. El exploit de Stake DAO refuerza la tesis de Aráoz, complicando los esfuerzos de la industria para restaurar la confianza tanto institucional como minorista.

La tesis llevó a Openzeppelin a emitir un comunicado alejándose de Aráoz, a quien la empresa dijo que dejó la organización en 2019. Openzeppelin también abordó las preocupaciones clave planteadas por Aráoz, reconociendo que, si bien la inteligencia artificial es un vector de amenaza real, también es una poderosa herramienta defensiva cuando se usa “con rigor y juicio humano experto”.

“Nuestros investigadores usan IA a diario para detectar más problemas y casos extremos”, dijo Openzeppelin en un comunicado. “La respuesta al riesgo de la IA no es retirarse de DeFi. Es una mejor seguridad.”

Al abordar la reciente racha de incidentes de seguridad, Openzeppelin insistió en que muchos de estos pueden rastrearse hasta fallos de seguridad operativa, más que hasta errores en los contratos inteligentes.