5 月 27 日,去中心化金融平台 Stake DAO 於其 Arbitrum 協議遭遇「無限鑄造」攻擊。然而,Stake DAO 核心貢獻者迅速鎖定支撐代幣的主網資金,關閉 vsdCRV 橋接,並成功遏制此次攻擊。
- 重點整理:
-
- Stake DAO 於 5 月 27 日在 Arbitrum 上遭遇無限鑄造漏洞攻擊,據稱該攻擊者挪走價值 91,000 美元的數位資產。
-
- 此次漏洞引發圍繞 DeFi 安全的病毒式辯論,起因是 Openzeppelin 共同創辦人 Manuel Aráoz。
-
- Stake DAO 正逐步淘汰 Arbitrum 的 asdCRV Llamalend 市場,並與執法機構合作。
無限鑄造漏洞觸發攻擊
去中心化金融(DeFi)平台 Stake DAO 於 5 月 27 日證實,其在 Arbitrum 第二層網路上的協議遭到利用,允許未經授權的一方惡意鑄造「數兆」合成代幣。根據區塊鏈安全公司 Blockaid 的初步調查,攻擊者利用了與 Stake DAO 之 vsdCRV 方案邏輯及自動化獎勵分配系統相關的「無限鑄造」漏洞。
合約接受了無效的狀態轉移,導致嚴重的內部帳務失敗。此漏洞使攻擊者得以將 vsdCRV 的供給量膨脹至 5.4 兆(trillion)單位。部分報導指出,在問題被識別並停止之前,攻擊者能夠從受影響的流動性池中挪走約 91,000 美元的可轉移數位資產。
Stake DAO 核心貢獻者迅速採取措施以降低進一步損害,宣布他們已成功在 以太坊主網(Ethereum mainnet) 鎖定 vsdCRV 支撐資金。由於遏制行動迅速,協議官方確認攻擊者無法奪取任何 以太坊主網(Ethereum mainnet) 資金。此外,團隊停用 vsdCRV 橋接(vsdCRV bridge),成功將此次攻擊的經濟影響限制在 Arbitrum 生態系內。
「根據我們目前的評估,Boosted yields、Liquid Lockers、Votemarket & Stake DAO 在 Morpho 的借貸不受影響,」Stake DAO 在透過社群媒體平台 X 分享的聲明中表示。
協議同時指出,不過在事件發生後,Arbitrum 的 asdCRV Llamalend 市場(Llamalend markets) 將永久終止。Stake DAO 建議用戶不要與 vsdCRV 合約互動,並敦促 crvUSD 存款人將資本遷移至其他未受影響的 Llamalend 市場(Llamalend markets)。
DeFi 安全的岌岌可危時刻
執法機構已獲得通知,Stake DAO 表示正在與外部安全合作夥伴協作,以追蹤被竊資產的流向,並對受損的智慧合約進行全面的鑑識審計。
事件時機正逢更廣泛的 DeFi 生態系試圖反擊由 Openzeppelin 共同創辦人 Manuel Aráoz 推行的病毒式論點。Aráoz 近期宣稱:「所有 DeFi 都不安全。」他的悲觀評估震撼了產業參與者,迫使整個已在一波協議被利用與結構性弱點的浪潮中疲憊不堪的產業進行重新盤點。Stake DAO 的此次漏洞攻擊印證了 Aráoz 的論點,同時也使產業恢復機構與散戶信心的努力變得更為棘手。
該論點促使 Openzeppelin 發布 聲明(Openzeppelin statement),與 Aráoz 劃清界線。公司表示,Aráoz 自 2019 年起便離開該組織。Openzeppelin 也回應 Aráoz 提出的主要疑慮,承認儘管人工智慧確實是現實威脅途徑,但在以「嚴謹作法與專業的人類判斷」加以使用時,它同時也是強大的防禦工具。
「我們的研究人員每天都使用 AI,以發現更多問題與邊界案例,」Openzeppelin 在 聲明(Openzeppelin statement) 中表示。「AI 風險的解答不是撤退出 DeFi,而是更好的安全。」
面對近期一連串的資安事件,Openzeppelin 強調,其中許多事件可歸因於作業安全(operational security)失誤,而非智慧合約錯誤。
