Atak na Stake DAO i 5,4 biliona fałszywych tokenów w sieci Arbitrum

27 maja zdecentralizowany protokół finansowy Stake DAO ucierpiał z powodu exploita w sieci warstwy drugiej Arbitrum. Napastnik wykorzystał lukę w inteligentnym kontrakcie powiązanym z dystrybucją nagród i logiką skarbca vsdCRV. Awaria wewnętrznej księgowości pozwoliła na nieuprawnioną emisję 5,4 biliona sztuk syntetycznych tokenów. Przed zatrzymaniem procederu sprawca zdołał wycofać z pul płynności aktywa kryptowalutowe wyceniane na około 91 000 dolarów.

Firma bezpieczeństwa blockchain Blockaid wskazała w analizie, że inteligentny kontrakt zaakceptował błędne przejście stanu. To bezpośrednio umożliwiło masowy druk tokenów vsdCRV bez realnego pokrycia.

Reakcja deweloperów była natychmiastowa. Rdzenni programiści powstrzymali rozprzestrzenianie się strat poprzez zablokowanie mostu transferowego dla vsdCRV oraz zabezpieczenie funduszy gwarancyjnych, które znajdują się w sieci głównej Ethereum. Działanie to odcięło napastnikowi możliwość drenażu kapitału z głównej warstwy protokołu. Ekosystem Ethereum pozostał nienaruszony.

W oficjalnym komunikacie opublikowanym w serwisie X przedstawiciele projektu zadeklarowali, że mechanizmy Liquid Lockers, Votemarket oraz pożyczki na platformie Morpho działają bez zakłóceń.

Efektem incydentu jest jednak decyzja o trwałym wycofaniu rynku Arbitrum asdCRV Llamalend. Zarządzający protokołem wydali ostrzeżenie, aby użytkownicy zrezygnowali z interakcji z podatnymi kontraktami vsdCRV. Deponenci korzystający z crvUSD otrzymali instrukcję przeniesienia swoich środków na inne, bezpieczne rynki w ramach Llamalend.

Atak wywołał dyskusję na temat odporności zdecentralizowanych aplikacji na awarie kodu. Manuel Aráoz, współzałożyciel firmy Openzeppelin, publicznie postawił tezę, że cały sektor DeFi nie gwarantuje bezpieczeństwa.

Wypowiedź ta zmusiła Openzeppelin do wydania oświadczenia odcinającego firmę od słów Aráoza, który opuścił struktury tej organizacji w 2019 roku. Przedsiębiorstwo audytorskie argumentuje, że nowoczesne narzędzia oparte o sztuczną inteligencję stanowią skuteczną barierę obronną, jeśli ich wdrożenie poprze rzetelna weryfikacja ludzkich ekspertów. Ponadto Openzeppelin wskazuje, że większość współczesnych naruszeń wynika z błędów w procedurach operacyjnych zarządzających projektami, a nie z wad samych inteligentnych kontraktów.

Platforma wdrożyła procedury kryzysowe i powiadomiła organy ścigania o popełnieniu przestępstwa. Zespół programistów podjął bliską współpracę z zewnętrznymi firmami audytorskimi w celu monitorowania adresów powiązanych ze skradzionymi kryptowalutami. Specjaliści ds. cyberbezpieczeństwa prowadzą obecnie szczegółową analizę powłamaniową kodu źródłowego, aby wykluczyć obecność podobnych podatności w innych modułach systemu.

Transakcje napastnika zostały zidentyfikowane na blockchainie, a zebrane logi sieciowe posłużą jako dowód w toczącym się postępowaniu wyjaśniającym.