پروتکل آربیتروم استیک DAO در ۲۷ مه هدف یک بهرهبرداری ضرب بینهایت قرار گرفت. مهاجم موفق شد پیش از توقف نقض توسط تیم، ۵.۴ تریلیون توکن مصنوعی vsdCRV ایجاد کند.
نحوه کار حمله
این بهرهبرداری مکانیسم توکن مصنوعی پروتکل را در آربیتروم هدف قرار داد و به مهاجم امکان داد تا عرضه عظیمی از توکنهای vsdCRV را ضرب کند. این توکنها قرار است موقعیتهای قفلشده CRV را نمایندگی کنند، اما باگ ضرب بینهایت به مهاجم اجازه داد آنها را بدون پشتوانه تولید کند. این عملیات ضرب تا زمانی که توسعهدهندگان اصلی متوجه فعالیت غیرعادی شدند ادامه یافت.
مهار و واکنش
توسعهدهندگان اصلی استیک DAO پس از شناسایی بهرهبرداری سریعاً اقدام کردند. آنها وجوه میننت که پشتوانه توکنهای مصنوعی بودند را ایمن کردند و از تخلیه داراییهای واقعی توسط مهاجم جلوگیری کردند. تیم همچنین پل vsdCRV بین آربیتروم و اتریوم را غیرفعال کرد و توانایی مهاجم برای جابجایی توکنهای ضربشده را قطع نمود. این حرکت بهطور مؤثری بهرهبرداری را مهار کرد — مهاجم نتوانست توکنهای مصنوعی را به چیزی باارزش در میننت تبدیل کند.
آنچه برای کاربران در خطر است
پروتکل آسیبدیده بخشی از استقرار آربیتروم استیک DAO است که به کاربران اجازه میدهد CRV را برای کسب سود سپردهگذاری کنند. توکن vsdCRV یک نماینده مصنوعی از آن موقعیت قفلشده است. با غیرفعال شدن پل، کاربران فعلاً نمیتوانند vsdCRV را بین زنجیرهها جابجا کنند. تیم اعلام نکرده است که پل چه زمانی بازگشایی خواهد شد یا با ۵.۴ تریلیون توکن ضربشده چه خواهد کرد.
سوالات بیپاسخ
استیک DAO فاش نکرده است که آیا مهاجم پیش از قطع پل موفق به کسب سود شده است یا چه مقدار در فرایند بستن آن از دست رفته است. توسعهدهندگان اصلی پروتکل گفتهاند پس از بررسی کامل جزئیات بیشتری را分享 خواهند کرد. کاربران در انتظار یک جدول زمانی شفاف برای ازسرگیری عملیات عادی هستند.
