Das Arbitrum-Protokoll von Stake DAO wurde am 27. Mai durch einen Exploit mit unbegrenztem Minting getroffen. Dem Angreifer gelang es, 5,4 Billionen synthetische vsdCRV-Token zu erstellen, bevor das Team den Einbruch stoppen konnte.
Wie der Angriff funktionierte
Der Exploit zielte auf den Mechanismus für synthetische Token des Protokolls auf Arbitrum ab und ermöglichte es dem Angreifer, eine enorme Menge an vsdCRV-Token zu minen. Diese Token sollen gesperrte CRV-Positionen repräsentieren, doch der Fehler beim unbegrenzten Minting ließ den Angreifer sie erstellen, ohne dass eine Deckung vorhanden war. Die Minting-Phase lief, bis Kernmitwirkende ungewöhnliche Aktivitäten bemerkten.
Eindämmung und Reaktion
Die Kernmitwirkenden von Stake DAO reagierten schnell nach der Entdeckung des Exploits. Sie sicherten die auf dem Mainnet befindlichen Gelder, die die synthetischen Token deckten, und verhinderten so, dass der Angreifer reale Vermögenswerte abziehen konnte. Das Team schaltete auch die vsdCRV-Bridge zwischen Arbitrum und Ethereum ab, wodurch die Fähigkeit des Angreifers, die geminteten Token zu verschieben, unterbunden wurde. Diese Maßnahme begrenzte den Exploit effektiv – der Angreifer konnte die synthetischen Token nicht in etwas Wertvolles auf dem Mainnet umwandeln.
Was für Nutzer auf dem Spiel steht
Das betroffene Protokoll ist Teil der Arbitrum-Bereitstellung von Stake DAO, die es Nutzern ermöglicht, CRV zu hinterlegen, um Renditen zu erzielen. Der vsdCRV-Token ist eine synthetische Darstellung dieser gesperrten Position. Da die Bridge abgeschaltet ist, können Nutzer vsdCRV vorerst nicht zwischen Chains verschieben. Das Team hat nicht bekannt gegeben, wann die Bridge wieder geöffnet wird oder wie sie mit den 5,4 Billionen geminteten Token umgehen werden.
Offene Fragen
Stake DAO hat nicht offengelegt, ob der Angreifer vor der Abschaltung der Bridge einen Gewinn erzielen konnte oder wie viel bei der Abschaltung verloren ging. Die Kernmitwirkenden des Protokolls haben mitgeteilt, dass sie nach einer vollständigen Überprüfung weitere Details bekannt geben werden. Nutzer warten auf einen klaren Zeitplan, wann der normale Betrieb wieder aufgenommen wird.
