5月27日、Stake DAOのArbitrumプロトコルが無限ミント(無制限発行)の脆弱性を悪用した攻撃を受けました。攻撃者はチームが侵害を止めるまでの間に、合成トークンvsdCRVを5.4兆枚生成することに成功しました。
攻撃の仕組み
この攻撃は、Arbitrum上の同プロトコルの合成トークン機構を標的にしたもので、攻撃者はvsdCRVトークンを膨大な量ミントできました。これらのトークンは本来、ロックされたCRVポジションを表すものですが、無限ミントのバグにより、裏付けなしで生成できたのです。大量ミントは、中核コントリビューターが異常な活動に気づくまで続きました。
封じ込めと対応
Stake DAOの中核コントリビューターは、攻撃を検知した後すぐに行動を起こしました。彼らは合成トークンの裏付けとなるメインネット上の資金を保護し、攻撃者が実際の資産を引き出せないようにしました。また、ArbitrumとEthereum間のvsdCRVブリッジを停止し、攻撃者がミントしたトークンを移動する手段を断ち切りました。この措置により攻撃は実質的に封じ込められ、攻撃者は合成トークンをメインネットで価値のあるものに変換できなくなりました。
ユーザーへの影響
攻撃を受けたプロトコルはStake DAOのArbitrum展開の一部で、ユーザーはCRVを預けて利回りを得られます。vsdCRVトークンは、そのロックされたポジションを合成トークンで表現したものです。ブリッジが停止したため、現在ユーザーはvsdCRVをチェーン間で移動できません。チームはブリッジの再開時期や、生成された5.4兆トークンの処理方法についてまだ発表していません。
未解決の疑問
Stake DAOは、ブリッジが遮断される前に攻撃者が利益を得たかどうか、また遮断処理においてどれだけの損失が発生したかを明らかにしていません。プロトコルの中核コントリビューターは、完全なレビュー後に詳細を共有すると述べています。ユーザーは通常業務が再開される明確な時期を待っています。
