Stake DAO стикається з триваючою експлуатацією після карбування 5,4 трильйона vsdCRV

Stake DAO, децентралізована платформа DeFi, зосереджена на автоматизованих стратегіях прибутку, переживає триваючу експлуатацію після того, як нападник викарбував понад 5,4 трильйона токенів vsdCRV в Arbitrum і активно обміняв їх на ETH, повідомили в середу кілька компаній із кібербезпеки блокчейнів. Ймовірна першопричина — скомпрометований приватний ключ деплойера Stake DAO, який дав нападнику змогу маніпулювати конфігурацією кросчейн-мосту vsdCRV. Цей інцидент додається до сплеску експлуатацій у DeFi з квітня: викрадено понад $600 мільйонів у десятках протоколів, зокрема експлуатація Kelp DAO на $292 мільйона, тоді як прогрес у штучному інтелекті, здається, підштовхує до зростання складності атак.

Технічні деталі експлуатації

Нападник викарбував понад 5,4 трильйона vsdCRV в Arbitrum і активно обмінює їх на ETH, повідомляє Blockaid. PeckShield повідомила, що було обміняно й перекинуто на Ethereum токени на суму 43,78 ETH ($91 тис.). vsdCRV, або vote-boosted sdCRV, — токен, пов’язаний із прибутковими інструментами, який прив’язаний до екосистеми Curve Finance та використовується всередині Stake DAO.

BlockSec пояснив, що нападник, схоже, отримав приватний ключ деплойера та встановив довільного peer для vsdCRV. «За допомогою цього peer вони підробили шкідливе повідомлення, яке спричинило безумовне карбування ~5,44T vsdCRV на свою адресу», — заявив BlockSec.

Засновник Sodot і CPO Шалев Керен розповів The Block, що «ключ деплойера Stake DAO на Arbitrum використали, щоб перенаправити конфігурацію кросчейн-мосту vsdCRV на контракт, контрольований нападником в Ethereum, і приблизно через двадцять п’ять секунд той контракт надіслав повідомлення LayerZero назад через міст, через що легітимний токен в Arbitrum викарбував понад п’ять трильйонів vsdCRV для нападника, який тепер вивантажує їх на ETH». Керен уточнив, що «тут немає багу в смартконтракті, і немає вади в LayerZero; проблема — в одному приватному ключі, який контролює одну привілейовану функцію конфігурації, без multisig і без затримки між проходженням зміни конфігурації та завершенням карбування onchain».

Офіційна відповідь

Stake DAO заявив, що знає про ситуацію, і закликав користувачів не взаємодіяти з vsdCRV.

Оцінка безпеки

Шалев Керен розповів The Block, що експлуатація Stake DAO структурно подібна до інциденту Wasabi минулого місяця та до кількох інших компрометацій приватних ключів деплойера цього року. Керен додав, що інцидент підкреслює ширші занепокоєння щодо операційної безпеки та концентрації привілейованих деплой-прав, прив’язаних до аудитованих протоколів DeFi.

У вівторок керівник відділу криптобезпеки OpenZeppelin Мануель Араос сказав, що він вважає «усі DeFi» небезпечними, посилаючись на асиметрію між атакувальниками та захисниками.

Ширший контекст

Експлуатація триває в один із найгірших періодів для атак у DeFi, і, схоже, її підживлює прогрес у штучному інтелекті: з квітня десятки протоколів зламали більш ніж на $600 мільйонів, а очолює список експлуатація Kelp DAO на $292 мільйона.

Це розвивається подія.