Stake DAO的Arbitrum协议于5月27日遭遇无限铸造攻击。攻击者在团队制止漏洞前成功创建了5.4万亿枚合成vsdCRV代币。
攻击原理
此次攻击针对Arbitrum上的协议合成代币机制,使攻击者得以大量铸造vsdCRV代币。这些代币本应代表锁定的CRV头寸,但无限铸造漏洞使攻击者能在无实际抵押的情况下生成代币。直到核心贡献者发现异常活动,这一铸造行为才被终止。
应对措施
Stake DAO核心贡献者在发现漏洞后迅速采取行动。他们保护了支撑合成代币的主网资金,防止攻击者转移真实资产。团队还关闭了Arbitrum与以太坊之间的vsdCRV跨链桥,切断了攻击者转移铸造代币的能力。此举有效遏制了攻击——攻击者无法将合成代币在主网上兑换为任何有价值资产。
用户面临的风险
受影响的协议属于Stake DAO在Arbitrum上的部署,允许用户存入CRV以获取收益。vsdCRV代币是该锁定头寸的合成表示。由于跨链桥已关闭,用户目前无法在链间转移vsdCRV。团队尚未宣布跨链桥重启时间或如何处理被铸造的5.4万亿枚代币。
未解问题
Stake DAO尚未披露攻击者在跨链桥关闭前是否获利,以及关闭过程中造成了多少损失。协议核心贡献者表示将在全面审查后公布更多细节。用户正在等待关于恢复正常运营时间表的明确信息。
