הפרוטוקול של Stake DAO ב-Arbitrum ספג מתקפת ניצול של הטבעה אינסופית ב-27 במאי. התוקף הצליח ליצור 5.4 טריליון טוקני vsdCRV סינתטיים לפני שהצוות עצר את הפרצה.
כיצד פעלה המתקפה
הניצול כוון למנגנון הטוקנים הסינתטיים של הפרוטוקול ב-Arbitrum, ואיפשר לתוקף להטביע אספקה עצומה של טוקני vsdCRV. טוקנים אלו נועדו לייצג עמדות CRV נעולות, אך באג ההטבעה האינסופית אפשר לתוקף ליצור אותם ללא כיסוי. מסע ההטבעה נמשך עד שתורמים מרכזיים הבחינו בפעילות חריגה.
בלימה ותגובה
תורמיו המרכזיים של Stake DAO פעלו במהירות לאחר שגילו את הניצול. הם הבטיחו את הכספים ברשת המרכזית (Mainnet) שגיבו את הטוקנים הסינתטיים, ובכך מנעו מהתוקף למשוך נכסים אמיתיים. הצוות גם סגר את הגשר של vsdCRV בין Arbitrum ל-Ethereum, וניתק את יכולת התוקף להעביר את הטוקנים שהוטבעו. מהלך זה בלם למעשה את הניצול – התוקף לא יכול היה להמיר את הטוקנים הסינתטיים לכל דבר בעל ערך ברשת המרכזית.
מה עומד על הפרק עבור המשתמשים
הפרוטוקול שנפגע הוא חלק מההתקנה של Stake DAO ב-Arbitrum, המאפשרת למשתמשים להפקיד CRV כדי להרוויח תשואות. טוקן vsdCRV הוא ייצוג סינתטי של אותה עמדה נעולה. עם השבתת הגשר, משתמשים לא יכולים להעביר vsdCRV בין רשתות לעת עתה. הצוות לא הודיע מתי הגשר ייפתח מחדש או כיצד יטפל ב-5.4 טריליון הטוקנים שהוטבעו.
שאלות ללא מענה
Stake DAO לא חשפה אם התוקף הצליח להרוויח לפני ניתוק הגשר, או כמה אבד בתהליך סגירתו. תורמיו המרכזיים של הפרוטוקול אמרו שהם ישתפו פרטים נוספים לאחר בדיקה מלאה. המשתמשים ממתינים ללוח זמנים ברור לגבי מתי יחודשו הפעולות הרגילות.
