O protocolo Arbitrum da Stake DAO sofreu um ataque de cunhagem infinita em 27 de maio. O atacante conseguiu criar 5,4 trilhões de tokens sintéticos vsdCRV antes que a equipe interrompesse a violação.
Como o ataque ocorreu
O ataque visou o mecanismo de tokens sintéticos do protocolo no Arbitrum, permitindo que o atacante cunhasse uma quantidade enorme de tokens vsdCRV. Esses tokens são destinados a representar posições de CRV travadas, mas o bug de cunhagem infinita permitiu ao atacante gerá-los sem garantia. A cunhagem em massa continuou até que os colaboradores centrais percebessem atividade anormal.
Contenção e resposta
Os colaboradores centrais da Stake DAO agiram rapidamente após detectar o ataque. Eles protegeram os fundos da mainnet que respaldavam os tokens sintéticos, impedindo que o atacante drenasse ativos reais. A equipe também desativou a ponte vsdCRV entre Arbitrum e Ethereum, impedindo que o atacante movesse os tokens cunhados. Essa medida conteve efetivamente o ataque — o atacante não pôde converter os tokens sintéticos em algo de valor na mainnet.
O que está em jogo para os usuários
O protocolo afetado faz parte da implantação do Arbitrum da Stake DAO, que permite aos usuários depositar CRV para obter rendimentos. O token vsdCRV é uma representação sintética dessa posição travada. Com a ponte desativada, os usuários não podem transferir vsdCRV entre redes no momento. A equipe não anunciou quando a ponte será reaberta ou como lidará com os 5,4 trilhões de tokens que foram cunhados.
Perguntas sem resposta
A Stake DAO não divulgou se o atacante obteve lucro antes da ponte ser desativada, nem quanto foi perdido no processo de desativação. Os colaboradores centrais do protocolo afirmaram que compartilharão mais detalhes após uma revisão completa. Os usuários aguardam um cronograma claro sobre quando as operações normais serão retomadas.
