Stake DAO блокує ринки vsdCRV на Arbitrum після того, як атакувальник карбує 5,4 трильйона синтетичних токенів

27 травня децентралізована платформа DeFi Stake DAO зазнала експлойту з нескінченним карбуванням у своєму протоколі Arbitrum. Втім, ключові учасники Stake DAO оперативно забезпечили кошти mainnet, що підтримують токени, зупинили міст vsdCRV і успішно стримали експлойт.

• Ключові висновки:
• • Stake DAO зазнала експлойту з нескінченним карбуванням на Arbitrum 27 травня, який, за повідомленнями, дозволив атакувальнику вивести $91,000 у цифрових активах.
• • Інцидент підживлює вірусні дебати щодо безпеки DeFi, що були спровоковані співзасновником Openzeppelin Менуелем Араосом.
• • Stake DAO припиняє роботу ринку Arbitrum asdCRV Llamalend і співпрацює з правоохоронцями.

Бреш у механіці нескінченного карбування запускає експлойт

Децентралізована фінансова (DeFi) платформа Stake DAO підтвердила 27 травня, що її протокол у мережі Arbitrum рівня 2 було атаковано експлойтом, який дав змогу неавторизованій стороні зловмисно карбувати трильйони синтетичних токенів. За попередніми висновками блокчейн-компанії з безпеки Blockaid, атакувальник скористався вразливістю з нескінченним карбуванням, пов’язаною з vault-логікою vsdCRV у Stake DAO та автоматизованою системою розподілу винагород.

Смартконтракт прийняв некоректний перехід стану, що спричинило критичну внутрішню помилку обліку. Ця лазівка дозволила атакувальнику роздути пропозицію vsdCRV на 5,4 трильйона одиниць. Деякі повідомлення стверджують, що атакувальник зміг вивести приблизно $91,000 у переказуваних цифрових активах із відповідних пулів ліквідності, перш ніж проблему було виявлено та зупинено.

Ключові учасники Stake DAO швидко вжили заходів для мінімізації подальших збитків, оголосивши, що їм вдалося забезпечити підтримку vsdCRV на Ethereum mainnet. Завдяки швидкому стримуванню посадовці протоколу підтвердили, що атакувальник не може вилучити жодні кошти mainnet. Додатково команда деактивувала міст vsdCRV, успішно обмеживши економічний вплив експлойту екосистемою Arbitrum.

“На основі нашої поточної оцінки Boosted yields, Liquid Lockers, Votemarket & Stake DAO lending на Morpho не постраждали”, — заявила Stake DAO в повідомленні, оприлюдненому через платформу соцмереж X.

Проте протокол зазначив, що ринок Arbitrum asdCRV Llamalend буде назавжди припинено після інциденту. Stake DAO порадила користувачам не взаємодіяти з контрактами vsdCRV і закликає депозитаріїв crvUSD перемістити свій капітал до альтернативних ринків Llamalend, які не постраждали.

Небезпечний момент для безпеки DeFi

Правоохоронні органи були повідомлені, а Stake DAO заявила, що співпрацює із зовнішніми партнерами з безпеки, щоб відстежити потік викрадених активів і провести комплексний форензик-аудит скомпрометованих смартконтрактів.

Час інциденту збігається з тим, що ширша екосистема DeFi намагається дати відсіч вірусній тезі, яку нещодавно популяризував співзасновник Openzeppelin Менуел Араос, який заявив, що “весь DeFi є небезпечним”. Мрачна оцінка Араоса приголомшила учасників галузі, змусивши до переосмислення в секторі, який уже втомився від хвилі експлойтів протоколів і структурних вразливостей. Експлойт Stake DAO підкреслює тезу Араоса, ускладнюючи зусилля індустрії з відновлення довіри як з боку інституцій, так і роздрібних користувачів.

Ця теза спонукала Openzeppelin оприлюднити заяву, що відмежовує компанію від поглядів Араоса, від якого, за словами компанії, вона відокремилася у 2019 році. Openzeppelin також розглянула ключові занепокоєння, підняті Араосом, визнавши, що хоча штучний інтелект є реальним вектором загроз, він водночас є потужним оборонним інструментом, якщо застосовувати його “з ретельністю та експертним людським судженням”.

“Наші дослідники щодня використовують ШІ, щоб виявляти більше проблем і крайових випадків”, — заявила Openzeppelin у повідомленні. “Відповідь на ризики ШІ — не відступ від DeFi. Це — краща безпека.”

Переходячи до нещодавньої серії інцидентів безпеки, Openzeppelin наполягала, що багато з них можна відстежити до збоїв в операційній безпеці, а не до багів у смартконтрактах.