Stake DAOs Arbitrum-protokol blev ramt af et uendelig-mynteangreb den 27. maj. Angriberen lykkedes med at oprette 5,4 billioner syntetiske vsdCRV-tokens, før teamet stoppede bruddet.
Sådan foregik angrebet
Udnyttelsen ramte protokollens syntetiske token-mekanisme på Arbitrum, hvilket gjorde det muligt for angriberen at præge en enorm mængde vsdCRV-tokens. Disse tokens er beregnet til at repræsentere låste CRV-positioner, men fejlen med uendelig prægning lod angriberen generere dem uden dækning. Prægningsorgiet fortsatte, indtil kernebidragydere opdagede unormal aktivitet.
Inddæmning og reaktion
Stake DAOs kernebidragydere handlede hurtigt efter at have opdaget udnyttelsen. De sikrede mainnet-midlerne, der dækkede de syntetiske tokens, og forhindrede dermed angriberen i at dræne reelle aktiver. Teamet lukkede også vsdCRV-broen mellem Arbitrum og Ethereum, hvilket afskar angriberens mulighed for at flytte de prægede tokens. Dette træk inddæmmede effektivt udnyttelsen – angriberen kunne ikke omdanne de syntetiske tokens til noget af værdi på mainnet.
Hvad der er på spil for brugerne
Den berørte protokol er en del af Stake DAOs Arbitrum-implementering, som giver brugere mulighed for at indsætte CRV for at tjene afkast. vsdCRV-tokenet er en syntetisk repræsentation af denne låste position. Med broen ude af drift kan brugere ikke flytte vsdCRV mellem kæder for nu. Teamet har ikke annonceret, hvornår broen genåbner, eller hvordan de vil håndtere de 5,4 billioner tokens, der blev præget.
Ubesvarede spørgsmål
Stake DAO har ikke oplyst, om angriberen nåede at profitere, før broen blev afskåret, eller hvor meget der gik tabt i processen med at lukke den. Protokollens kernebidragydere har sagt, at de vil dele flere detaljer efter en fuld gennemgang. Brugere venter på en klar tidslinje for, hvornår normal drift genoptages.
