Am 27. Mai musste die DeFi-Plattform Stake DAO aufgrund eines Exploits zur unendlichen Ausgabe (Infinite-Minting) auf ihrem Arbitrum-Protokoll einen Angriff hinnehmen. Allerdings konnten die zentralen Mitwirkenden von Stake DAO die Mainnet-Gelder, die die Token absichern, rasch sichern, die vsdCRV-Bridge abschalten und den Exploit erfolgreich eindämmen.
- Kernaussagen:
-
- Stake DAO erlitt am 27. Mai auf Arbitrum einen Infinite-Mint-Exploit, bei dem der Angreifer Berichten zufolge digitale Assets im Wert von 91.000 US-Dollar abgezogen haben soll.
-
- Der Vorfall befeuert eine virale Debatte über die DeFi-Sicherheit, die durch den Openzeppelin-Mitgründer Manuel Aráoz angestoßen wurde.
-
- Stake DAO stellt den Arbitrum-asdCRV-Llamalend-Markt endgültig ein und arbeitet mit Strafverfolgungsbehörden zusammen.
Schlupfloch beim Infinite-Minting löst den Exploit aus
Die DeFi-Plattform Stake DAO bestätigte am 27. Mai, dass ihr Protokoll auf dem Arbitrum-Layer-2-Netzwerk zum Ziel eines Exploits wurde, der es einer unbefugten Partei ermöglichte, bösartig Billionen synthetischer Tokens auszugeben. Den ersten Erkenntnissen des Blockchain-Sicherheitsunternehmens Blockaid zufolge nutzte der Angreifer eine Infinite-Minting-Schwachstelle aus, die mit der vsdCRV-Vault-Logik von Stake DAO und einem automatisierten Belohnungs-Verteilungssystem verknüpft ist.
Der Vertrag akzeptierte einen ungültigen Statusübergang, was zu einem schweren internen Buchhaltungsfehler führte. Dieses Schlupfloch erlaubte es dem Angreifer, die Umlaufmenge von vsdCRV um 5,4 Billionen Einheiten aufzublähen. Einige Berichte deuten darauf hin, dass der Angreifer in der Lage war, noch bevor das Problem erkannt und gestoppt wurde, ungefähr 91.000 US-Dollar an übertragbaren digitalen Assets aus den betroffenen Liquiditätspools abzuziehen.
Stake-DAO-Kernbeiträge reagierten schnell, um weiteren Schaden zu mindern, und kündigten an, sie hätten die vsdCRV-Absicherung auf dem Ethereum-Mainnet erfolgreich gesichert. Aufgrund der schnellen Eindämmung bestätigten Protokollverantwortliche, dass keine Mainnet-Gelder vom Angreifer beschlagnahmt werden können. Zusätzlich deaktivierte das Team die vsdCRV-Bridge und konnte so die wirtschaftlichen Auswirkungen des Exploits erfolgreich auf das Arbitrum-Ökosystem beschränken.
„Basierend auf unserer aktuellen Einschätzung sind Boosted yields, Liquid Lockers, Votemarket & Stake DAO-Lending auf Morpho nicht betroffen“, sagte Stake DAO in einer Erklärung, die über die Social-Media-Plattform X geteilt wurde.
Das Protokoll wies jedoch darauf hin, dass der Arbitrum-asdCRV-Llamalend-Markt als Folge des Vorfalls dauerhaft eingestellt wird. Stake DAO hat Nutzer angewiesen, nicht mit vsdCRV-Verträgen zu interagieren, und fordert crvUSD-Einleger dazu auf, ihr Kapital in alternative, nicht betroffene Llamalend-Märkte zu verlagern.
Eine prekäre Weggabelung für die DeFi-Sicherheit
Strafverfolgungsbehörden wurden benachrichtigt, und Stake DAO erklärte, es arbeite mit externen Sicherheitspartnern zusammen, um den Fluss der gestohlenen Assets zu verfolgen und eine umfassende forensische Prüfung der kompromittierten Smart Contracts durchzuführen.
Der Zeitpunkt des Vorfalls fällt in eine Phase, in der das breitere DeFi-Ökosystem versucht, gegen eine virale These zurückzudrängen, die durch Openzeppelin-Mitgründer Manuel Aráoz populär gemacht wurde. Dieser hatte kürzlich behauptet: „All DeFi ist unsicher.“ Aráoz’ düstere Einschätzung versetzte Branchenbeteiligte in Erstaunen und zwang zu einer Neubewertung in einem Sektor, der bereits durch eine Welle von Protokoll-Exploits und strukturellen Schwachstellen erschöpft war. Der Stake-DAO-Exploit unterstreicht Aráoz’ These und erschwert gleichzeitig den Bemühungen der Branche, sowohl institutionelles als auch Retail-Vertrauen wiederherzustellen.
Die These veranlasste Openzeppelin, eine Stellungnahme zu veröffentlichen, in der es sich von Aráoz distanzierte. Laut Unternehmen verließ Aráoz die Organisation im Jahr 2019. Openzeppelin ging zudem auf die zentralen Bedenken ein, die Aráoz aufgeworfen hatte: Man räumte ein, dass Künstliche Intelligenz zwar ein realer Bedrohungsvektor ist, aber zugleich ein mächtiges Verteidigungsinstrument, wenn sie „mit Akribie und sachkundigem menschlichem Urteil“ eingesetzt wird.
„Unsere Forscher nutzen täglich KI, um mehr Probleme und Edge Cases zu erkennen“, sagte Openzeppelin in einer Erklärung. „Die Antwort auf das KI-Risiko ist kein Rückzug aus DeFi. Es ist bessere Sicherheit.“
Mit Blick auf die jüngsten Sicherheitsvorfälle betonte Openzeppelin, dass viele dieser Vorfälle auf Sicherheitsversagen im Betrieb zurückzuführen seien, statt auf Fehler in Smart Contracts.
