Stake DAO sieht sich einem anhaltenden Exploit gegenüber, nachdem 5,4 Billionen vsdCRV geprägt wurden

Stake DAO, eine DeFi-Plattform mit Fokus auf automatisierte Yield-Strategien, ist von einem fortlaufenden Exploit betroffen, nachdem ein Angreifer auf Arbitrum über 5,4 Billionen vsdCRV-Token geprägt und diese aktiv gegen ETH getauscht hat, berichteten mehrere Blockchain-Sicherheitsfirmen am Mittwoch. Als vermutete Hauptursache gilt ein kompromittierter privater Schlüssel des Stake-DAO-Deployer, der es dem Angreifer ermöglichte, die Konfiguration der vsdCRV-Cross-Chain-Bridge zu manipulieren. Der Vorfall reiht sich damit in einen Anstieg von DeFi-Exploits seit April ein: Mehr als 600 Millionen US-Dollar wurden über Dutzende von Protokollen gestohlen, darunter der Exploit im Wert von 292 Millionen US-Dollar von Kelp DAO, während Fortschritte in der künstlichen Intelligenz offenbar zu einer erhöhten Angriffskomplexität führen.

Technische Details des Exploit

Der Angreifer hat laut Blockaid auf Arbitrum über 5,4 Billionen vsdCRV geprägt und tauscht sie derzeit aktiv gegen ETH. PeckShield berichtete, dass Token im Wert von 43,78 ETH (91.000 US-Dollar) getauscht und über die Bridge nach Ethereum transferiert wurden. vsdCRV, oder vote-boosted sdCRV, ist ein yield-bezogener Derivate-Token, der an das Curve-Finance-Ökosystem gekoppelt ist und innerhalb von Stake DAO verwendet wird.

BlockSec erklärte, der Angreifer habe offenbar den privaten Schlüssel des Deployer erhalten und einen beliebigen Peer für vsdCRV gesetzt. „Mit diesem Peer haben sie eine bösartige Nachricht gefälscht, die ein bedingungsloses Minting von ~5,44T vsdCRV an ihre Adresse ausgelöst hat“, so BlockSec.

Sodot-Mitgründer und CPO Shalev Keren sagte gegenüber The Block, dass „der Stake-DAO-Deployer-Key auf Arbitrum verwendet wurde, um die vsdCRV-Cross-Chain-Bridge-Konfiguration auf einen von einem Angreifer kontrollierten Vertrag auf Ethereum umzurichten, und etwa fünfundzwanzig Sekunden später sendete dieser Vertrag eine LayerZero-Nachricht zurück über, wodurch der legitime Arbitrum-Token über fünf Billionen vsdCRV an den Angreifer mintete, der sie nun für ETH ablädt.“ Keren stellte klar, dass „hier kein Smart-Contract-Bug vorliegt und kein Fehler in LayerZero, sondern ein privater Schlüssel, der eine einzige privilegierte Konfigurationsfunktion steuert — ohne Multisig und ohne Verzögerung zwischen der Konfigurationsänderung, die durchgeht, und dem Mint-Clearing onchain.“

Offizielle Reaktion

Stake DAO sagte, man sei sich der Situation bewusst und fordere Nutzer auf, nicht mit vsdCRV zu interagieren.

Sicherheitsanalyse

Shalev Keren sagte gegenüber The Block, der Stake-DAO-Exploit sei strukturell ähnlich wie der Wasabi-Vorfall im letzten Monat sowie mehrere andere Kompromittierungen von Deployer-Keys in diesem Jahr. Keren ergänzte, dass der Vorfall die breiteren Bedenken in Bezug auf operative Sicherheit und die Konzentration privilegierter Deployer-Berechtigungen, die an auditiere DeFi-Protokolle gebunden sind, unterstreiche.

Am Dienstag sagte der Kryptosicherheitsanbieter OpenZeppelin-Manager Manuel Aráoz, er halte „alles DeFi“ für unsicher, unter Verweis auf die Asymmetrie zwischen Angreifern und Verteidigern.

Einordnung

Der Exploit läuft weiterhin in eine der schlimmsten Phasen für DeFi-Exploits hinein, die offenbar durch Fortschritte in der künstlichen Intelligenz angetrieben wird: Dutzende Protokolle wurden seit April für mehr als 600 Millionen US-Dollar gehackt, angeführt vom Exploit im Wert von 292 Millionen US-Dollar von Kelp DAO.

Dies ist eine sich entwickelnde Geschichte.