Stake DAO 是一家专注于自动化收益策略的 DeFi 平台,周三多家区块链安全公司报告称,其正遭遇持续进行中的漏洞利用。攻击者在 Arbitrum 上铸造了超过 5.4 万亿 的 vsdCRV 代币,并主动将其兑换为 ETH。被怀疑的根本原因是 Stake DAO 的部署者私钥遭到泄露,使攻击者能够操纵 vsdCRV 跨链桥的配置。此次事件也为自 4 月以来 DeFi 漏洞利用激增的趋势增添了新案例:已有超过 6 亿美元被盗,涉及数十个协议,包括 Kelp DAO 的 2.92 亿美元漏洞利用;而随着人工智能的进展,攻击复杂度似乎正在提升。
漏洞利用的技术细节
据 Blockaid 称,攻击者在 Arbitrum 上铸造了超过 5.4 万亿 个 vsdCRV,并正在将其主动换成 ETH。PeckShield 报告称,价值 43.78 ETH(9.1 万美元)的代币已被兑换并跨桥至以太坊。vsdCRV,或称 vote-boosted sdCRV,是一种与 Curve Finance 生态相关、并在 Stake DAO 内部使用的收益相关衍生代币。
BlockSec 解释称,攻击者似乎已获得部署者的私钥,并为 vsdCRV 设置了一个任意点对等方(peer)。BlockSec 表示:“通过这个 peer,他们伪造了一条恶意消息,从而在其地址上触发了约 5.44T vsdCRV 的无条件铸造。”
Sodot 联合创始人兼 CPO Shalev Keren 告诉 The Block:“在 Arbitrum 上的 Stake DAO 部署者密钥被用于将 vsdCRV 跨链桥配置重新指向以太坊上一份由攻击者控制的合约,而大约二十五秒后,该合约向跨链回传一条 LayerZero 消息,导致合法的 Arbitrum 代币向攻击者铸造了超过五万亿的 vsdCRV,而对方目前正将其倾倒(dump)为 ETH。”Keren 澄清称:“这里没有智能合约漏洞,也没有 LayerZero 的缺陷;问题在于只有一个私钥,控制一个具备特权的配置功能,并且没有多签,也没有延迟——从配置变更生效到链上铸造完成之间没有任何延迟。”
官方回应
Stake DAO 表示其已知悉这一情况,并敦促用户不要与 vsdCRV 交互。
安全分析
Shalev Keren 告诉 The Block,Stake DAO 漏洞利用在结构上与上个月的 Wasabi 事件类似,今年以来还有多起部署者密钥遭到攻破的情况。Keren 补充称,此次事件凸显了围绕运营安全的更广泛担忧,以及与经过审计的 DeFi 协议相关联的特权部署者权限集中化问题。
周二,加密安全公司 OpenZeppelin 的 Manuel Aráoz 表示,他认为“所有的 DeFi 都不安全”,理由是攻击者与防御者之间存在不对称性。
更广泛的背景
该漏洞利用仍在延续 DeFi 领域最糟糕的一段时期之一,似乎正是由人工智能的进展推动:自 4 月以来,已有数十个协议遭黑客入侵,损失超过 6 亿美元,其中领头的是 Kelp DAO 的 2.92 亿美元漏洞利用。
这是一个持续发展的故事。
