Stake DAO замораживает рынки vsdCRV в Arbitrum после того, как злоумышленник чеканит 5,4 трлн синтетических токенов

27 мая децентрализованная платформа DeFi Stake DAO столкнулась с эксплойтом бесконечного чеканки на её арбитрум-протоколе. Однако основные участники Stake DAO быстро обеспечили средства основного мейннета, поддерживающие токены, отключили мост vsdCRV и успешно локализовали эксплойт.

• Ключевые выводы:
• • Stake DAO понесла эксплойт бесконечной чеканки на Arbitrum 27 мая, который, по сообщениям, позволил атакующему вывести $91 000 в цифровых активах.
• • Инцидент подогревает вирусные дебаты о безопасности DeFi, инициированные сооснователем Openzeppelin Манулем Араосом.
• • Stake DAO сворачивает рынок asdCRV Llamalend на Arbitrum и работает с правоохранительными органами.

«Лазейка» с бесконечной чеканкой запускает эксплойт

Децентрализованная платформа DeFi Stake DAO подтвердила 27 мая, что её протокол в сети второго уровня Arbitrum подвергся атаке эксплойтом: злоумышленник смог вредоносно отчеканить триллионы синтетических токенов. Согласно предварительным выводам компании по блокчейн-безопасности Blockaid, атакующий воспользовался уязвимостью бесконечной чеканки, связанную с логикой vault vsdCRV Stake DAO и системой автоматизированной раздачи вознаграждений.

Контракт принял некорректный переход состояния, что привело к критическому сбою внутреннего учёта. Эта лазейка позволила атакующему раздувать предложение vsdCRV на 5,4 триллиона единиц. Некоторые сообщения утверждают, что атакующему удалось вывести примерно $91 000 в переводимых цифровых активах из затронутых пулов ликвидности ещё до того, как проблема была обнаружена и остановлена.

Основные участники Stake DAO быстро предприняли шаги для смягчения дальнейшего ущерба, объявив, что они успешно обеспечили поддержку vsdCRV на мейннете Ethereum. Благодаря оперативной локализации представители протокола подтвердили, что у атакующего не получится изъять средства с мейннета. Кроме того, команда деактивировала мост vsdCRV, тем самым успешно ограничив экономический эффект эксплойта экосистемой Arbitrum.

«На основе нашей текущей оценки Boosted yields, Liquid Lockers, Votemarket & Stake DAO lending на Morpho не затронуты», — заявила Stake DAO в сообщении, опубликованном в соцсети X.

При этом протокол отметил, что рынок Arbitrum asdCRV Llamalend будет навсегда свёрнут после инцидента. Stake DAO посоветовала пользователям не взаимодействовать с контрактами vsdCRV и призывает депозиторов crvUSD перевести капитал в альтернативные рынки Llamalend, не затронутые проблемой.

Непростой поворот для безопасности DeFi

Правоохранительные органы уведомлены, и Stake DAO заявила, что сотрудничает с внешними партнёрами по безопасности, чтобы отслеживать поток украденных активов и провести комплексный криминалистический аудит скомпрометированных смарт-контрактов.

Временной контекст инцидента совпадает с тем, что более широкая экосистема DeFi пытается дать отпор вирусному тезису, популяризированному сооснователем Openzeppelin Манулем Араосом, который недавно утверждал, что «все DeFi небезопасны». Мрачная оценка Араоса ошеломила участников отрасли, вынудив сектор, уже уставший от волны эксплойтов протоколов и структурных уязвимостей, снова переосмыслить свою позицию. Эксплойт Stake DAO усиливает тезис Араоса, усложняя усилия отрасли по восстановлению доверия как у институциональных игроков, так и у розницы.

Тезис побудил Openzeppelin выпустить заявление с дистанцированием от Араоса, которого компания сообщила покинувшим организацию в 2019 году. Openzeppelin также затронула ключевые опасения, поднятые Араосом: признав, что, хотя искусственный интеллект — реальный вектор угроз, он также является мощным инструментом защиты, когда используется «с дисциплиной и экспертным человеческим суждением».

«Наши исследователи используют ИИ ежедневно, чтобы находить больше проблем и пограничных случаев», — говорится в заявлении Openzeppelin. «Ответ на риски ИИ — не уход от DeFi. Это лучшая безопасность.»

Переходя к недавней серии инцидентов безопасности, Openzeppelin подчеркнула, что многие из них можно проследить до провалов в операционной безопасности, а не до багов смарт-контрактов.