Protocolul Stake DAO de pe Arbitrum a fost lovit de o breșă de securitate de tip 'infinite-minting' pe 27 mai. Atacatorul a reușit să creeze 5,4 trilioane de tokenuri sintetice vsdCRV înainte ca echipa să oprească breșa.
Cum a funcționat atacul
Breșa a vizat mecanismul tokenurilor sintetice ale protocolului pe Arbitrum, permițând atacatorului să bată o cantitate imensă de tokenuri vsdCRV. Aceste tokenuri sunt menite să reprezinte poziții CRV blocate, dar eroarea de 'infinite-minting' i-a permis atacatorului să le genereze fără acoperire. Abundența de batere a continuat până când contribuitorii principali au observat activitatea anormală.
Izolarea și răspunsul
Contribuitorii principali ai Stake DAO au acționat rapid după depistarea breșei. Au securizat fondurile de pe mainnet care susțineau tokenurile sintetice, împiedicând atacatorul să scurgă active reale. Echipa a închis, de asemenea, podul vsdCRV dintre Arbitrum și Ethereum, blocând capacitatea atacatorului de a muta tokenurile bătute. Această măsură a limitat efectiv breșa — atacatorul nu a putut converti tokenurile sintetice în nimic valoros pe mainnet.
Ce este în joc pentru utilizatori
Protocolul afectat face parte din implementarea Stake DAO pe Arbitrum, care permite utilizatorilor să depună CRV pentru a obține randamente. Tokenul vsdCRV este o reprezentare sintetică a acelei poziții blocate. Cu podul închis, utilizatorii nu pot muta vsdCRV între rețele pentru moment. Echipa nu a anunțat când se va redeschide podul sau cum vor gestiona cele 5,4 trilioane de tokenuri care au fost bătute.
Întrebări fără răspuns
Stake DAO nu a dezvăluit dacă atacatorul a reușit să obțină profit înainte de întreruperea podului, sau cât s-a pierdut în procesul de închidere a acestuia. Contribuitorii principali ai protocolului au declarat că vor împărtăși mai multe detalii după o analiză completă. Utilizatorii așteaptă un calendar clar privind reluarea operațiunilor normale.
