Stake DAO ถูกโจมตีแบบ Infinite-Minting บน Arbitrum; สร้างโทเคน 5.4 ล้านล้านเหรียญ

โปรโตคอล Arbitrum ของ Stake DAO ถูกโจมตีด้วยช่องโหว่ Infinite-Minting เมื่อวันที่ 27 พฤษภาคม ผู้โจมตีสามารถสร้างโทเคนสังเคราะห์ vsdCRV จำนวน 5.4 ล้านล้านเหรียญ ก่อนที่ทีมจะหยุดการละเมิดได้

วิธีการโจมตี

การโจมตีนี้มุ่งเป้าไปที่กลไกโทเคนสังเคราะห์ของโปรโตคอลบน Arbitrum ทำให้ผู้โจมตีสามารถสร้างอุปทานมหาศาลของโทเคน vsdCRV โดยโทเคนดังกล่าวมีไว้เพื่อแสดงถึงสถานะ CRV ที่ถูกล็อก แต่บั๊ก Infinite-Minting ทำให้ผู้โจมตีสามารถสร้างขึ้นมาได้โดยไม่มีหลักทรัพย์ค้ำประกัน การปล่อยมินต์จำนวนมากดำเนินไปจนกระทั่งผู้มีส่วนร่วมหลักสังเกตเห็นกิจกรรมที่ผิดปกติ

การควบคุมและตอบสนอง

ผู้มีส่วนร่วมหลักของ Stake DAO ดำเนินการอย่างรวดเร็วหลังจากตรวจพบช่องโหว่ พวกเขารักษาเงินทุนบนเมนเน็ตที่ค้ำประกันโทเคนสังเคราะห์ไว้ ป้องกันไม่ให้ผู้โจมตีดึงสินทรัพย์จริงออกไป ทีมยังปิดบริดจ์ vsdCRV ระหว่าง Arbitrum และ Ethereum ตัดความสามารถของผู้โจมตีในการย้ายโทเคนที่ถูกมินต์ การดำเนินการนี้มีประสิทธิภาพในการจำกัดการโจมตี — ผู้โจมตีไม่สามารถแปลงโทเคนสังเคราะห์เป็นสิ่งที่มีค่าบนเมนเน็ตได้

ผลกระทบต่อผู้ใช้

โปรโตคอลที่ได้รับผลกระทบเป็นส่วนหนึ่งของการปรับใช้ Arbitrum ของ Stake DAO ซึ่งช่วยให้ผู้ใช้ฝาก CRV เพื่อรับผลตอบแทน โทเคน vsdCRV เป็นตัวแทนสังเคราะห์ของสถานะที่ถูกล็อกนั้น เมื่อบริดจ์ถูกปิด ผู้ใช้ไม่สามารถย้าย vsdCRV ข้ามเชนได้ในขณะนี้ ทีมยังไม่ประกาศว่าบริดจ์จะเปิดอีกครั้งเมื่อใด หรือจะจัดการกับโทเคน 5.4 ล้านล้านเหรียญที่ถูกมินต์อย่างไร

คำถามที่ยังไม่มีคำตอบ

Stake DAO ยังไม่เปิดเผยว่าผู้โจมตีสามารถทำกำไรก่อนที่บริดจ์จะถูกตัดหรือไม่ หรือสูญเสียเท่าใดในกระบวนการปิดบริดจ์ ผู้มีส่วนร่วมหลักของโปรโตคอลกล่าวว่าพวกเขาจะแบ่งปันรายละเอียดเพิ่มเติมหลังจากการตรวจสอบอย่างครบถ้วน ผู้ใช้กำลังรอไทม์ไลน์ที่ชัดเจนว่าเมื่อใดการดำเนินงานปกติจะกลับมาดำเนินการต่อ