Ngày 27/5, nền tảng tài chính phi tập trung Stake DAO đã gặp lỗ hổng khai thác “in vô hạn” trên giao thức Arbitrum. Tuy nhiên, các đóng góp cốt lõi của Stake DAO nhanh chóng thu hồi số tiền trên mainnet dùng để hỗ trợ các token, tắt cầu vsdCRV và đã khống chế thành công vụ khai thác.
- Những ý chính:
-
- Stake DAO gặp lỗ hổng khai thác “in vô hạn” trên Arbitrum vào ngày 27/5, theo cho biết, kẻ tấn công đã rút cạn 91 nghìn USD tài sản số.
-
- Vụ việc làm bùng phát tranh luận lan truyền về bảo mật DeFi, được khởi xướng bởi đồng sáng lập Openzeppelin Manuel Aráoz.
-
- Stake DAO sẽ ngừng hoạt động vĩnh viễn thị trường asdCRV Llamalend trên Arbitrum và phối hợp với cơ quan thực thi pháp luật.
Lỗ hổng “in vô hạn” kích hoạt vụ khai thác
Nền tảng tài chính phi tập trung (DeFi) Stake DAO xác nhận vào ngày 27/5 rằng giao thức của họ trên mạng lớp 2 Arbitrum đã bị nhắm mục tiêu bởi một vụ khai thác, cho phép một bên trái phép cố ý đúc một lượng lớn hàng nghìn tỷ token tổng hợp. Theo kết quả ban đầu của công ty bảo mật blockchain Blockaid, kẻ tấn công đã lợi dụng lỗ hổng “in vô hạn” liên quan đến logic vault vsdCRV của Stake DAO và hệ thống phân phối phần thưởng tự động.
Hợp đồng đã chấp nhận một bước chuyển trạng thái không hợp lệ, dẫn đến sự cố lỗi sổ nội bộ nghiêm trọng. Lỗ hổng này cho phép kẻ tấn công thổi phồng nguồn cung vsdCRV lên 5,4 nghìn tỷ đơn vị. Một số thông tin cho rằng kẻ tấn công có thể rút khoảng 91 nghìn USD tài sản số có thể chuyển nhượng từ các nhóm thanh khoản bị ảnh hưởng trước khi vấn đề được phát hiện và bị dừng lại.
Các đóng góp cốt lõi của Stake DAO đã nhanh chóng triển khai biện pháp giảm thiểu thiệt hại, thông báo rằng họ đã bảo đảm thành công phần hỗ trợ vsdCRV trên Ethereum mainnet. Do việc khống chế diễn ra nhanh chóng, các quan chức giao thức xác nhận rằng không có khoản tiền mainnet nào có thể bị kẻ tấn công chiếm đoạt. Ngoài ra, đội ngũ đã vô hiệu hóa cầu vsdCRV, qua đó khống chế thành công tác động kinh tế của vụ khai thác trong hệ sinh thái Arbitrum.
“Dựa trên đánh giá hiện tại của chúng tôi, Boosted yields, Liquid Lockers, Votemarket và cho vay của Stake DAO trên Morpho không bị ảnh hưởng,” Stake DAO cho biết trong một tuyên bố được chia sẻ qua nền tảng mạng xã hội X.
Tuy nhiên, giao thức ghi nhận rằng thị trường asdCRV Llamalend trên Arbitrum sẽ bị ngừng hoạt động vĩnh viễn sau sự cố. Stake DAO đã khuyến cáo người dùng không tương tác với các hợp đồng vsdCRV và kêu gọi người nắm giữ tiền gửi crvUSD chuyển vốn của họ sang các thị trường Llamalend khác không bị ảnh hưởng.
Bước ngoặt rủi ro cho bảo mật DeFi
Các cơ quan thực thi pháp luật đã được thông báo, và Stake DAO cho biết họ đang phối hợp với các đối tác bảo mật bên ngoài để theo dõi dòng chảy của tài sản bị đánh cắp và thực hiện cuộc kiểm toán pháp y toàn diện đối với các hợp đồng thông minh bị xâm phạm.
Thời điểm của sự cố diễn ra trong lúc hệ sinh thái DeFi rộng lớn đang tìm cách phản biện lại một luận điểm lan truyền do đồng sáng lập Openzeppelin Manuel Aráoz phổ biến. Gần đây, ông Aráoz khẳng định rằng “tất cả DeFi đều không an toàn.” Đánh giá ảm đạm của Aráoz đã khiến những người tham gia trong ngành bị sốc, buộc cả khu vực phải đối mặt với một cuộc “tổng kiểm” khi vốn đã mệt mỏi vì chuỗi các vụ khai thác giao thức và các lỗ hổng mang tính cấu trúc. Vụ khai thác của Stake DAO làm luận điểm của Aráoz trở nên “khớp” hơn, đồng thời làm phức tạp nỗ lực của ngành trong việc khôi phục niềm tin của cả tổ chức lẫn nhà đầu tư cá nhân.
Luận điểm này khiến Openzeppelin phát hành một tuyên bố nhằm tách mình khỏi Aráoz, người mà công ty cho biết đã rời khỏi tổ chức vào năm 2019. Openzeppelin cũng đề cập đến những mối quan ngại cốt lõi mà Aráoz nêu ra, thừa nhận rằng dù trí tuệ nhân tạo là một vector mối đe dọa thực sự, nó cũng là một công cụ phòng thủ mạnh mẽ khi được sử dụng “với kỷ luật và phán đoán chuyên môn của con người.”
“Các nhà nghiên cứu của chúng tôi sử dụng AI hằng ngày để phát hiện nhiều vấn đề và các tình huống biên hơn,” Openzeppelin cho biết trong một tuyên bố. “Câu trả lời cho rủi ro AI không phải là rút lui khỏi DeFi. Đó là bảo mật tốt hơn.”
Chuyển sang loạt sự cố bảo mật gần đây, Openzeppelin nhấn mạnh rằng nhiều sự cố trong số này có thể truy ngược về các sai sót trong bảo mật vận hành, thay vì lỗi trong hợp đồng thông minh.
