Το πρωτόκολλο του Stake DAO στο Arbitrum επλήγη από μια εκμετάλλευση απεριόριστης κοπής στις 27 Μαΐου. Ο επιτιθέμενος κατάφερε να δημιουργήσει 5,4 τρισεκατομμύρια συνθετικά vsdCRV tokens προτού η ομάδα σταματήσει την παραβίαση.
Πώς λειτούργησε η επίθεση
Η εκμετάλλευση στόχευσε τον μηχανισμό συνθετικών tokens του πρωτοκόλλου στο Arbitrum, επιτρέποντας στον επιτιθέμενο να κόψει μια τεράστια ποσότητα vsdCRV tokens. Αυτά τα tokens προορίζονται να αντιπροσωπεύουν κλειδωμένες θέσεις CRV, αλλά το σφάλμα απεριόριστης κοπής επέτρεψε στον επιτιθέμενο να τα δημιουργήσει χωρίς αντίκρισμα. Το ξέφρενο κόψιμο συνεχίστηκε μέχρι που οι βασικοί συντελεστές παρατήρησαν ανώμαλη δραστηριότητα.
Περιορισμός και αντίδραση
Οι βασικοί συντελεστές του Stake DAO ενήργησαν γρήγορα μετά τον εντοπισμό της εκμετάλλευσης. Ασφάλισαν τα κεφάλαια του mainnet που υποστήριζαν τα συνθετικά tokens, αποτρέποντας τον επιτιθέμενο από το να αποσύρει πραγματικά περιουσιακά στοιχεία. Η ομάδα επίσης έκλεισε τη γέφυρα vsdCRV μεταξύ Arbitrum και Ethereum, αποκόπτοντας την ικανότητα του επιτιθέμενου να μετακινήσει τα κομμένα tokens. Αυτή η κίνηση περιόρισε αποτελεσματικά την εκμετάλλευση – ο επιτιθέμενος δεν μπόρεσε να μετατρέψει τα συνθετικά tokens σε κάτι πολύτιμο στο mainnet.
Τι διακυβεύεται για τους χρήστες
Το επηρεαζόμενο πρωτόκολλο είναι μέρος της ανάπτυξης του Stake DAO στο Arbitrum, που επιτρέπει στους χρήστες να καταθέτουν CRV για να κερδίζουν αποδόσεις. Το vsdCRV token είναι μια συνθετική αναπαράσταση αυτής της κλειδωμένης θέσης. Με τη γέφυρα εκτός λειτουργίας, οι χρήστες δεν μπορούν να μετακινήσουν vsdCRV μεταξύ αλυσίδων προς το παρόν. Η ομάδα δεν έχει ανακοινώσει πότε θα ξανανοίξει η γέφυρα ή πώς θα διαχειριστούν τα 5,4 τρισεκατομμύρια tokens που κόπηκαν.
Αναπάντητα ερωτήματα
Το Stake DAO δεν έχει αποκαλύψει αν ο επιτιθέμενος κατάφερε να κερδίσει προτού κοπεί η γέφυρα, ή πόσο χάθηκε κατά τη διαδικασία κλεισίματός της. Οι βασικοί συντελεστές του πρωτοκόλλου έχουν δηλώσει ότι θα μοιραστούν περισσότερες λεπτομέρειες μετά από πλήρη ανασκόπηση. Οι χρήστες περιμένουν ένα σαφές χρονοδιάγραμμα για το πότε θα συνεχιστούν οι κανονικές λειτουργίες.
