Protokol Arbitrum Stake DAO telah diserang oleh eksploitasi pencetakan tanpa had pada 27 Mei. Penyerang berjaya mencipta 5.4 trilion token vsdCRV sintetik sebelum pasukan menghentikan pelanggaran tersebut.
Cara serangan berfungsi
Eksploitasi ini menyasarkan mekanisme token sintetik protokol di Arbitrum, membolehkan penyerang mencetak bekalan token vsdCRV yang sangat besar. Token tersebut sepatutnya mewakili kedudukan CRV yang dikunci, tetapi bug pencetakan tanpa had membenarkan penyerang menjananya tanpa sandaran. Kegilaan pencetakan berterusan sehingga penyumbang utama menyedari aktiviti yang tidak normal.
Pembendungan dan respons
Penyumbang utama Stake DAO bertindak pantas selepas mengesan eksploitasi tersebut. Mereka mengamankan dana rantaian utama yang menyokong token sintetik, menghalang penyerang daripada menguras aset sebenar. Pasukan juga menutup jambatan vsdCRV antara Arbitrum dan Ethereum, memotong keupayaan penyerang untuk memindahkan token yang telah dicetak. Langkah itu berjaya membendung eksploitasi — penyerang tidak dapat menukar token sintetik kepada apa-apa yang bernilai di rantaian utama.
Apa yang dipertaruhkan untuk pengguna
Protokol yang terjejas adalah sebahagian daripada penggunaan Arbitrum Stake DAO, yang membolehkan pengguna mendeposit CRV untuk mendapatkan hasil. Token vsdCRV adalah representasi sintetik kedudukan yang dikunci tersebut. Dengan jambatan ditutup, buat masa ini pengguna tidak boleh memindahkan vsdCRV merentas rantaian. Pasukan belum mengumumkan bila jambatan akan dibuka semula atau bagaimana mereka akan mengendalikan 5.4 trilion token yang telah dicetak.
Soalan yang belum terjawab
Stake DAO belum mendedahkan sama ada penyerang berjaya mendapat keuntungan sebelum jambatan dipotong, atau berapa banyak yang hilang dalam proses menutupnya. Penyumbang utama protokol telah mengatakan mereka akan berkongsi butiran lanjut selepas kajian penuh. Pengguna menunggu garis masa yang jelas tentang bila operasi normal akan disambung semula.
