Stake DAO Utnyttelse
Stake DAO står overfor en pågående utnyttelse knyttet til sitt vsdCRV-token på Arbitrum. Blockchain-sikkerhetsfirmaet Blockaid har opplyst om at en angriper har mintet mer enn 5,4 trillioner vsdCRV og begynt å bytte tokenene mot ETH. Stake DAO bekreftet at de er klar over situasjonen og ber brukerne om ikke å interagere med vsdCRV.
Angriperens Aktivitet
Prosjektets advarsel kom mens forskere fortsatt sporer angriperens aktivitet på tvers av Arbitrum og Ethereum. «Vi er klar over den pågående situasjonen. Vennligst ikke interager med vsdCRV eller stemme-forsterket sdCRV,» uttalte de. Tokenet er knyttet til Curve Finance-økosystemet og brukes i Stake DAOs avkastningsprodukter.
Detaljer om Angrepet
Hendelsen oppsto etter at angriperen angivelig fikk nok kontroll til å mint en enorm mengde. PeckShield rapporterte at en del av de mintede midlene allerede var byttet mot 43,78 ETH, verdt omtrent $91 000, og overført til Ethereum. Hendelsen forblir en utviklende historie, og de endelige tapstallene kan endres etter hvert som flere transaksjoner spores.
Blockaid opplyste at den mistenkte årsaken var en kompromittert privat nøkkel for Stake DAO-deployer. Ifølge firmaet brukte angriperen denne tilgangen til å omkonfigurere LayerZero v2 OFT-peer for vsdCRV-tokenkontrakten. Denne endringen angivelig omdirigerte tillit fra den legitime Ethereum-siden adapter til en ondsinnet kontrakt kontrollert av angriperen.
Risikoer i DeFi
Hendelsen viser hvordan privilegert tilgang fortsatt er en stor risiko i DeFi. Selv når smartkontraktskode fungerer som tiltenkt, kan en kompromittert deployer-nøkkel gi angripere muligheten til å endre betrodde innstillinger og utløse tap. Stake DAO-utnyttelsen følger en rekke nylige DeFi-hendelser.
Som tidligere rapportert av crypto.news, sa OpenZeppelin-medgründer Manuel Aráoz at han nå anser «alle DeFi» som usikre og har rådet venner og familie til å trekke seg fra DeFi-posisjoner. Aráoz argumenterte for at kodeagenter blir sterke verktøy for å finne sårbarheter, mens forsvarere fortsatt må fikse hver svakhet før angripere finner dem.
Andre Hendelser
Hans kommentarer kom mens DeFi-protokoller mistet omtrent $629,7 millioner til hacking i april. Separat mistet Wasabi Protocol mer enn $5 millioner på tvers av Ethereum, Base, Berachain og Blast etter at en kompromittert admin-nøkkel tillot angripere å oppgradere kontrakter og tømme midler. Denne saken ligner på den nåværende bekymringen for Stake DAO, fordi begge hendelsene involverte privilegert nøkkeltilgang i stedet for enkel markedsmanipulasjon.
Wasabi advarte også brukerne om ikke å interagere med sine kontrakter mens teamet etterforsket. Stake DAO-hendelsen peker også tilbake til risikoene ved cross-chain tokens. Sikkerhetsrapporter har sporet gjentatte angrep som involverer broer, peer-innstillinger og meldingsvalidering på tvers av kjeder i 2023.
Konklusjon
BlockSec sin sikkerhetsoppsummering for mai listet flere hendelser på tvers av Ethereum, Sui, BNB Chain, Base, Blast og Berachain, med totale tap på omtrent $15,9 millioner over en to ukers periode. Bloggen deres identifiserte også Wasabi som et nøkkel-kompromiss tilfelle. I april led Kelp DAO et av årets største DeFi-utnyttelser etter at angripere tømte omtrent $292 millioner fra en LayerZero-drevet bro. Bruddet hevet bekymringer om cross-chain eiendelsstøtte på tvers av mer enn 20 nettverk.
