Stake DAO:s Arbitrum-protokoll utsattes för en exploatering med oändlig myntning den 27 maj. Angriparen lyckades skapa 5,4 biljoner syntetiska vsdCRV-tokens innan teamet stoppade intrånget.
Hur attacken fungerade
Exploateringen riktade sig mot protokollets syntetiska tokenmekanism på Arbitrum, vilket tillät angriparen att mynta en enorm mängd vsdCRV-tokens. Dessa tokens är tänkta att representera låsta CRV-positioner, men buggen med oändlig myntning tillät angriparen att generera dem utan att de var säkrade av verkliga tillgångar. Myntningsvågen fortsatte tills kärnmedlemmarna upptäckte onormal aktivitet.
Begränsning och åtgärder
Stake DAO:s kärnmedlemmar agerade snabbt efter att exploateringen upptäckts. De säkrade mainnet-fonderna som stödde de syntetiska tokenarna, vilket förhindrade att angriparen kunde tömma de verkliga tillgångarna. Teamet stängde också av vsdCRV-broen mellan Arbitrum och Ethereum, vilket avbröt angriparens möjlighet att flytta de myntade tokenarna. Detta åtgärd begränsade effektivt exploateringen – angriparen kunde inte konvertera de syntetiska tokenarna till något av värde på mainnet.
Vad som är på spel för användarna
Det drabbade protokollet är en del av Stake DAO:s Arbitrum-deployering, där användare kan sätta in CRV för att tjäna avkastning. vsdCRV-tokenen är en syntetisk representation av den låsta positionen. Eftersom broen är nere kan användare för tillfället inte flytta vsdCRV mellan kedjor. Teamet har inte meddelat när broen kommer att öppnas igen eller hur de kommer att hantera de 5,4 biljoner tokens som myntades.
Obesvarade frågor
Stake DAO har inte avslöjat om angriparen lyckades göra vinster innan broen stängdes av, eller hur mycket som förlorades under processen att stänga ner den. Protokollets kärnmedlemmar har sagt att de kommer att dela fler detaljer efter en fullständig granskning. Användare väntar på en tydlig tidsplan för när den normala verksamheten kommer att återupptas.
