Stake DAO Under Attack
Stake DAO står over for en igangværende udnyttelse relateret til sin vsdCRV-token på Arbitrum. Blockchain-sikkerhedsfirmaet Blockaid har oplyst, at en angriber har mintet mere end 5,4 trillioner vsdCRV og begyndt at bytte disse tokens for ETH.
Situationens Udfoldelse
Stake DAO bekræftede, at de er opmærksomme på situationen og har bedt brugerne om ikke at interagere med vsdCRV. Projektets advarsel kom, mens forskere fortsatte med at spore angriberens aktivitet på tværs af Arbitrum og Ethereum.
“Vi er opmærksomme på den igangværende situation. Venligst interager ikke med vsdCRV eller stemme-forstærket sdCRV, som er knyttet til Curve Finance-økosystemet og bruges i Stake DAOs afkastprodukter.”
Angrebets Detaljer
Tokenet blev centrum for hændelsen, efter at angriberen angiveligt fik kontrol over minting af en enorm forsyning. PeckShield rapporterede, at en del af de mintede midler allerede var blevet byttet for 43,78 ETH, hvilket svarer til cirka $91.000, og at midlerne blev broet til Ethereum. Hændelsen er stadig under udvikling, og de endelige tab kan ændre sig, efterhånden som flere transaktioner spores.
Blockaid har angivet, at den mistænkte rodårsag er en kompromitteret privat nøgle fra Stake DAOs deployer. Ifølge firmaet brugte angriberen denne adgang til at omkonfigurere LayerZero v2 OFT-peer for vsdCRV-tokenkontrakten. Denne ændring omdirigerede angiveligt tillid fra den legitime Ethereum-sideadapter til en ondsindet kontrakt kontrolleret af angriberen.
Risici i DeFi
Hændelsen viser, hvordan privilegeret adgang fortsat er en stor risiko i DeFi. Selv når smart kontraktkode fungerer som designet, kan en kompromitteret deployer-nøgle give angribere mulighed for at ændre betroede indstillinger og udløse tab. Stake DAO-udnyttelsen følger en række nylige DeFi-hændelser. Som tidligere rapporteret af crypto.news, sagde OpenZeppelin medstifter Manuel Aráoz, at han nu betragter “hele DeFi” som usikker og har rådet venner og familie til at forlade DeFi-positioner.
Aráoz argumenterede for, at kodningsagenter bliver stærke værktøjer til at finde sårbarheder, mens forsvarere stadig skal rette hver svaghed, før angribere finder en. Hans kommentarer kom, da DeFi-protokoller mistede omkring $629,7 millioner til hacks i april.
Relaterede Hændelser
Separat mistede Wasabi Protocol mere end $5 millioner på tværs af Ethereum, Base, Berachain og Blast, efter at en kompromitteret admin-nøgle tillod angribere at opgradere kontrakter og tømme midler. Denne sag ligner den nuværende Stake DAO-bekymring, da begge hændelser involverede privilegeret nøgleadgang snarere end en simpel markedsmanipulationsbegivenhed.
Stake DAO-hændelsen peger også tilbage på cross-chain token-risici. Sikkerhedsrapporter har sporet gentagne angreb, der involverer broer, peer-indstillinger og beskedvalidering på tværs af kæder. BlockSec’s sikkerhedsoversigt fra maj listede flere hændelser på tværs af Ethereum, Sui, BNB Chain, Base, Blast og Berachain, med samlede tab på omkring $15,9 millioner over en to-ugers periode.
I april led Kelp DAO et af årets største DeFi-udnyttelser, efter at angribere tømte omkring $292 millioner fra en LayerZero-drevet bro. Bruddet rejste bekymringer om cross-chain aktivbacking på tværs af mere end 20 netværk.
