Stake DAO'nun Arbitrum protokolü, 27 Mayıs'ta sonsuz basım açığına maruz kaldı. Saldırgan, ekip ihlali durdurmadan önce 5.4 trilyon sentetik vsdCRV token oluşturmayı başardı.
Saldırı nasıl işledi
Sömürü, Arbitrum'daki protokolün sentetik token mekanizmasını hedef alarak saldırganın devasa miktarda vsdCRV token basmasına izin verdi. Bu tokenler kilitli CRV pozisyonlarını temsil etmek üzere tasarlanmıştı, ancak sonsuz basım hatası, saldırganın bunları karşılıksız olarak üretmesini sağladı. Basım çılgınlığı, çekirdek katkıcılar anormal aktiviteyi fark edene kadar sürdü.
Önleme ve müdahale
Stake DAO'nun çekirdek katkıcıları, sömürüyü tespit ettikten sonra hızla harekete geçti. Sentetik tokenleri destekleyen ana ağ fonlarını güvence altına alarak saldırganın gerçek varlıkları boşaltmasını engellediler. Ekip ayrıca Arbitrum ile Ethereum arasındaki vsdCRV köprüsünü kapatarak saldırganın basılmış tokenleri taşıma yeteneğini ortadan kaldırdı. Bu hamle sömürüyü etkili bir şekilde sınırladı – saldırgan sentetik tokenleri ana ağda değerli bir şeye dönüştüremedi.
Kullanıcılar için riskler
Etkilenen protokol, Stake DAO'nun Arbitrum'daki kullanıcıların CRV yatırarak getiri elde etmesini sağlayan dağıtımının bir parçasıdır. vsdCRV tokeni bu kilitli pozisyonun sentetik bir temsilidir. Köprü kapalı olduğu için kullanıcılar şu anda vsdCRV'yi zincirler arasında taşıyamıyor. Ekip, köprünün ne zaman yeniden açılacağını veya basılmış 5.4 trilyon tokenle nasıl başa çıkacaklarını henüz açıklamadı.
Cevapsız sorular
Stake DAO, saldırganın köprü kesilmeden önce kâr elde edip edemediğini veya kapatma sürecinde ne kadar kayıp yaşandığını açıklamadı. Protokolün çekirdek katkıcıları, tam bir incelemeden sonra daha fazla detay paylaşacaklarını söyledi. Kullanıcılar normal operasyonların ne zaman devam edeceğine dair net bir zaman çizelgesi bekliyor.
