Stake DAO enfrenta un exploit continuo después de acuñar 5,4 billones de vsdCRV

Stake DAO, una plataforma DeFi centrada en estrategias de rendimiento automatizadas, está sufriendo un exploit en curso después de que un atacante emitiera más de 5,4 billones de tokens vsdCRV en Arbitrum y los intercambiara activamente por ETH, según informaron el miércoles varias firmas de seguridad de blockchain. La causa raíz sospechada es una clave privada comprometida del implementador de Stake DAO que permitió al atacante manipular la configuración del puente cross-chain de vsdCRV. Este incidente se suma a un aumento de exploits en DeFi desde abril, con más de 600 millones de dólares robados en docenas de protocolos, incluido el exploit de 292 millones de dólares de Kelp DAO, ya que los avances en inteligencia artificial parecen estar impulsando una mayor sofisticación de los ataques.

Detalles técnicos del exploit

El atacante emitió más de 5,4 billones de vsdCRV en Arbitrum y los está intercambiando activamente por ETH, según Blockaid. PeckShield informó que se habían intercambiado y puenteado a Ethereum tokens por valor de 43,78 ETH (91.000 dólares). vsdCRV, o vote-boosted sdCRV, es un token derivado relacionado con el rendimiento vinculado al ecosistema de Curve Finance y utilizado dentro de Stake DAO.

BlockSec explicó que el atacante parece haber obtenido la clave privada del implementador y establecido un peer arbitrario para vsdCRV. “Usando ese peer, forjaron un mensaje malicioso que activó la acuñación incondicional de ~5,44T vsdCRV a su dirección”, afirmó BlockSec.

El cofundador de Sodot y CPO Shalev Keren le dijo a The Block que “la clave del implementador de Stake DAO en Arbitrum se usó para volver a apuntar la configuración del puente cross-chain de vsdCRV a un contrato controlado por el atacante en Ethereum, y aproximadamente veinticinco segundos después, ese contrato envió un mensaje de LayerZero de vuelta a través, causando que el token legítimo de Arbitrum acuñara más de cinco billones de vsdCRV para el atacante, que ahora lo está vendiendo para obtener ETH”. Keren aclaró que “no hay un fallo de contrato inteligente aquí, y no hay un defecto en LayerZero; hay una sola clave privada, que controla una sola función de configuración privilegiada, sin multisig y sin demora entre el cambio de configuración al pasar y la liquidación de la acuñación en la cadena”.

Respuesta oficial

Stake DAO dijo que estaba al tanto de la situación y pidió a los usuarios no interactuar con vsdCRV.

Análisis de seguridad

Shalev Keren le dijo a The Block que el exploit de Stake DAO es estructuralmente similar al incidente de Wasabi del mes pasado y a varios otros compromisos de claves de implementador ocurridos este año. Keren agregó que el incidente resalta preocupaciones más amplias sobre la seguridad operativa y la concentración de permisos privilegiados de implementador vinculados a protocolos DeFi auditados.

El martes, el directivo Manuel Aráoz, de la firma de seguridad cripto OpenZeppelin, dijo que considera “todo DeFi” inseguro, citando la asimetría entre atacantes y defensores.

Contexto más amplio

El exploit continúa uno de los peores periodos para exploits en DeFi, aparentemente impulsado por avances en inteligencia artificial, con decenas de protocolos pirateados por más de 600 millones de dólares desde abril, liderados por el exploit de 292 millones de dólares de Kelp DAO.

Esta es una historia en desarrollo.