El protocolo de Arbitrum de Stake DAO fue víctima de una vulnerabilidad de acuñación infinita el 27 de mayo. El atacante logró crear 5,4 billones de tokens sintéticos vsdCRV antes de que el equipo detuviera la brecha.
Cómo funcionó el ataque
La vulnerabilidad explotó el mecanismo de tokens sintéticos del protocolo en Arbitrum, permitiendo al atacante acuñar una cantidad enorme de tokens vsdCRV. Estos tokens están diseñados para representar posiciones bloqueadas de CRV, pero el error de acuñación infinita permitió al atacante generarlos sin respaldo. La acuñación masiva continuó hasta que los contribuidores principales detectaron actividad anormal.
Contención y respuesta
Los contribuidores principales de Stake DAO actuaron rápidamente tras detectar la vulnerabilidad. Aseguraron los fondos de la red principal que respaldaban los tokens sintéticos, evitando que el atacante drenara activos reales. El equipo también cerró el puente de vsdCRV entre Arbitrum y Ethereum, impidiendo que el atacante moviera los tokens acuñados. Esta medida contuvo efectivamente la vulnerabilidad: el atacante no pudo convertir los tokens sintéticos en algo de valor en la red principal.
Qué está en juego para los usuarios
El protocolo afectado forma parte del despliegue de Stake DAO en Arbitrum, que permite a los usuarios depositar CRV para obtener rendimientos. El token vsdCRV es una representación sintética de esa posición bloqueada. Con el puente cerrado, los usuarios no pueden mover vsdCRV entre cadenas por ahora. El equipo no ha anunciado cuándo se reabrirá el puente ni cómo manejará los 5,4 billones de tokens que se acuñaron.
Preguntas sin respuesta
Stake DAO no ha revelado si el atacante logró obtener ganancias antes de que se cerrara el puente, ni cuánto se perdió durante el cierre. Los contribuidores principales del protocolo han indicado que compartirán más detalles tras una revisión completa. Los usuarios esperan un cronograma claro sobre cuándo se reanudarán las operaciones normales.
