Stake DAO congela mercados de vsdCRV na Arbitrum após o atacante cunhar 5,4 triilhões de tokens sintéticos

Em 27 de maio, a plataforma de finanças descentralizadas Stake DAO sofreu um exploit de cunhagem infinita no seu protocolo da Arbitrum. No entanto, contribuintes centrais da Stake DAO rapidamente garantiram os fundos do mainnet que lastreiam os tokens, desligaram a ponte vsdCRV e conseguiram conter o exploit.

• Principais destaques:
• • A Stake DAO sofreu um exploit de cunhagem infinita na Arbitrum em 27 de maio, que teria feito o atacante drenar US$ 91 mil em ativos digitais.
• • A falha alimenta um debate viral sobre segurança em DeFi, provocado pelo cofundador da Openzeppelin, Manuel Aráoz.
• • A Stake DAO está encerrando o uso da Arbitrum no mercado asdCRV Llamalend e trabalhando com as autoridades.

Brecha de Cunhagem Infinita Desencadeia Exploit

Finanças descentralizadas (DeFi), a Stake DAO confirmou em 27 de maio que seu protocolo na rede de camada 2 Arbitrum foi alvo de um exploit, permitindo que uma parte não autorizada cunhasse maliciosamente trilhões de tokens sintéticos. De acordo com descobertas preliminares da empresa de segurança blockchain Blockaid, o atacante explorou uma vulnerabilidade de cunhagem infinita ligada à lógica do cofre vsdCRV da Stake DAO e ao sistema automatizado de distribuição de recompensas.

O contrato aceitou uma transição de estado inválida, levando a uma falha contábil interna severa. Essa brecha permitiu ao atacante inflar a oferta de vsdCRV em 5,4 trilhões de unidades. Alguns relatos sugerem que o atacante conseguiu drenar aproximadamente US$ 91 mil em ativos digitais transferíveis dos pools de liquidez afetados antes que o problema fosse identificado e interrompido.

Os contribuintes centrais da Stake DAO agiram rapidamente para mitigar danos adicionais, anunciando que haviam conseguido garantir o lastro do vsdCRV no mainnet da Ethereum. Por causa da rápida contenção, autoridades do protocolo confirmaram que nenhum fundo do mainnet pode ser apreendido pelo atacante. Além disso, a equipe desativou a ponte vsdCRV, confinando com sucesso o impacto econômico do exploit ao ecossistema da Arbitrum.

“Com base na nossa avaliação atual, Boosted yields, Liquid Lockers, Votemarket e o lending da Stake DAO no Morpho estão inalterados”, disse a Stake DAO em comunicado compartilhado via plataforma de mídia social X.

O protocolo observou, no entanto, que o mercado asdCRV Llamalend da Arbitrum será encerrado permanentemente em razão do incidente. A Stake DAO orientou os usuários a não interagirem com contratos de vsdCRV e está pedindo aos depositantes de crvUSD que transfiram seu capital para mercados alternativos de Llamalend que não foram afetados.

Um Momento Delicado para a Segurança em DeFi

Agências de aplicação da lei foram notificadas, e a Stake DAO disse que está colaborando com parceiros externos de segurança para rastrear o fluxo dos ativos roubados e realizar uma auditoria forense abrangente dos contratos inteligentes comprometidos.

O timing do incidente ocorre enquanto o ecossistema mais amplo de DeFi tenta reagir a uma tese viral popularizada pelo cofundador da Openzeppelin, Manuel Aráoz, que recentemente afirmou que “todo DeFi é inseguro”. A avaliação sombria de Aráoz surpreendeu participantes do setor, forçando uma reavaliação em uma área que já estava exausta por uma onda de exploits de protocolos e vulnerabilidades estruturais. O exploit da Stake DAO reforça a tese de Aráoz, complicando os esforços da indústria para restaurar a confiança tanto de investidores institucionais quanto do varejo.

A tese levou a Openzeppelin a emitir um comunicado se distanciando de Aráoz, que a empresa disse ter deixado a organização em 2019. A Openzeppelin também abordou as principais preocupações levantadas por Aráoz, reconhecendo que, embora a inteligência artificial seja um vetor de ameaça real, ela também é uma ferramenta defensiva poderosa quando usada “com rigor e julgamento humano especializado”.

“Nossos pesquisadores usam IA diariamente para identificar mais problemas e casos de borda”, disse a Openzeppelin em comunicado. “A resposta ao risco de IA não é recuar do DeFi. É segurança melhor.”

Ao comentar a recente sequência de incidentes de segurança, a Openzeppelin insistiu que muitos deles podem ser atribuídos a falhas de segurança operacional, e não a bugs de contratos inteligentes.