Stake DAO's Arbitrum-protocol werd op 27 mei getroffen door een oneindige-mint-exploit. De aanvaller slaagde erin 5,4 biljoen synthetische vsdCRV-tokens te creëren voordat het team de inbreuk stopte.
Hoe de aanval werkte
De exploit richtte zich op het synthetische tokenmechanisme van het protocol op Arbitrum, waardoor de aanvaller een enorme hoeveelheid vsdCRV-tokens kon minten. Deze tokens zijn bedoeld om vergrendelde CRV-posities te vertegenwoordigen, maar de oneindige-mintbug liet de aanvaller ze aanmaken zonder onderpand. De mintrazia duurde totdat kernbijdragers abnormale activiteit opmerkten.
Inperking en reactie
De kernbijdragers van Stake DAO handelden snel na het ontdekken van de exploit. Ze beveiligden de mainnet-fondsen die de synthetische tokens ondersteunden, waardoor de aanvaller geen echte activa kon weghalen. Het team sloot ook de vsdCRV-brug tussen Arbitrum en Ethereum af, waardoor de aanvaller de geminte tokens niet kon verplaatsen. Die zet hield de exploit effectief in toom — de aanvaller kon de synthetische tokens niet omzetten in iets van waarde op het mainnet.
Wat er voor gebruikers op het spel staat
Het getroffen protocol maakt deel uit van Stake DAO's Arbitrum-implementatie, waarmee gebruikers CRV kunnen storten om rendement te verdienen. De vsdCRV-token is een synthetische weergave van die vergrendelde positie. Nu de brug is afgesloten, kunnen gebruikers voorlopig geen vsdCRV tussen ketens verplaatsen. Het team heeft niet aangekondigd wanneer de brug heropent of hoe ze de 5,4 biljoen tokens die zijn gemint, zullen afhandelen.
Onbeantwoorde vragen
Stake DAO heeft niet bekendgemaakt of de aanvaller erin slaagde winst te maken voordat de brug werd afgesloten, of hoeveel er verloren ging bij het afsluiten. De kernbijdragers van het protocol hebben gezegd dat ze na een volledige evaluatie meer details zullen delen. Gebruikers wachten op een duidelijke tijdlijn voor wanneer de normale werking wordt hervat.
