Stake DAO의 Arbitrum 프로토콜이 5월 27일 무한 발행 공격을 당했습니다. 공격자는 팀이 침해를 막기 전에 5.4조 개의 합성 vsdCRV 토큰을 생성했습니다.
공격이 어떻게 진행되었나
이번 익스플로잇은 Arbitrum에서 프로토콜의 합성 토큰 메커니즘을 표적으로 삼아, 공격자가 엄청난 양의 vsdCRV 토큰을 발행할 수 있게 했습니다. 이 토큰들은 잠긴 CRV 포지션을 나타내기 위한 것이었으나, 무한 발행 버그로 인해 공격자가 담보 없이 토큰을 생성할 수 있었습니다. 발행 폭주는 핵심 기여자들이 비정상적인 활동을 발견할 때까지 계속되었습니다.
차단 및 대응
Stake DAO의 핵심 기여자들은 익스플로잇을 감지한 후 신속하게 대응했습니다. 그들은 합성 토큰을 뒷받침하는 메인넷 자금을 확보하여 공격자가 실제 자산을 빼내는 것을 막았습니다. 또한 팀은 Arbitrum과 Ethereum 간의 vsdCRV 브릿지를 차단하여 공격자가 발행된 토큰을 이동할 수 없도록 했습니다. 이 조치는 익스플로잇을 효과적으로 차단했습니다. 공격자는 합성 토큰을 메인넷에서 가치 있는 어떤 것으로도 전환할 수 없었습니다.
사용자에게 미치는 영향
영향을 받은 프로토콜은 사용자가 CRV를 예치하여 수익을 얻을 수 있는 Stake DAO의 Arbitrum 배포의 일부입니다. vsdCRV 토큰은 해당 잠긴 포지션의 합성 표현입니다. 브릿지가 다운된 상태에서 사용자는 현재 체인 간에 vsdCRV를 이동할 수 없습니다. 팀은 브릿지가 언제 재개될지 또는 발행된 5.4조 개의 토큰을 어떻게 처리할지 아직 발표하지 않았습니다.
답변되지 않은 질문들
Stake DAO는 브릿지가 차단되기 전에 공격자가 이익을 얻었는지, 또는 차단 과정에서 얼마나 손실이 발생했는지 공개하지 않았습니다. 프로토콜의 핵심 기여자들은 전체 검토 후 더 자세한 내용을 공유하겠다고 밝혔습니다. 사용자들은 정상 운영이 언제 재개될지에 대한 명확한 일정을 기다리고 있습니다.
