A Stake DAO enfrenta um ataque em curso após a cunhagem de 5,4 biliões de vdstCRV

A Stake DAO, uma plataforma DeFi focada em estratégias de rendimento automatizadas, está a enfrentar um exploit em curso depois de um atacante ter cunhado mais de 5,4 biliões de tokens vsdCRV na Arbitrum e tê-los trocado ativamente por ETH, disseram na quarta-feira várias empresas de cibersegurança. A causa suspeita seria uma chave privada do deployer da Stake DAO comprometida, que terá permitido ao atacante manipular a configuração da ponte cross-chain do vsdCRV. Este incidente junta-se a um surto de exploits em DeFi desde abril, com mais de 600 milhões de dólares roubados em dezenas de protocolos, incluindo o exploit de 292 milhões de dólares da Kelp DAO, à medida que os avanços em inteligência artificial parecem estar a impulsionar um aumento da sofisticação dos ataques.

Detalhes Técnicos do Exploit

O atacante cunhou mais de 5,4 biliões de vsdCRV na Arbitrum e está a trocá-lo ativamente por ETH, segundo a Blockaid. A PeckShield referiu que foram trocados e enviados em ponte para a Ethereum tokens no valor de 43,78 ETH (91.000 dólares). vsdCRV, ou vote-boosted sdCRV, é um token derivado relacionado com rendimento ligado ao ecossistema da Curve Finance e usado dentro da Stake DAO.

A BlockSec explicou que o atacante parece ter obtido a chave privada do deployer e ter definido um peer arbitrário para vsdCRV. “Usando esse peer, forjaram uma mensagem maliciosa que desencadeou a cunhagem incondicional de ~5,44T vsdCRV para o endereço deles”, afirmou a BlockSec.

O cofundador e CPO da Sodot, Shalev Keren, disse ao The Block que “a chave do deployer da Stake DAO na Arbitrum foi usada para redirecionar a configuração da ponte cross-chain do vsdCRV para um contrato controlado pelo atacante na Ethereum, e cerca de vinte e cinco segundos depois, esse contrato enviou uma mensagem LayerZero de volta, fazendo com que o token legítimo da Arbitrum mintasse mais de cinco biliões de vsdCRV para o atacante, que agora está a descarregá-lo por ETH.” Keren esclareceu que “não há aqui um bug de smart contract, nem uma falha na LayerZero; há uma chave privada que controla uma função de configuração privilegiada, sem multisig e sem atraso entre a alteração de configuração passar e a cunhagem limpar onchain”.

Resposta Oficial

A Stake DAO disse que estava a par da situação e pediu aos utilizadores que não interagissem com vsdCRV.

Análise de Segurança

Shalev Keren disse ao The Block que o exploit da Stake DAO é estruturalmente semelhante ao incidente Wasabi do mês passado e a vários outros compromissos de chaves do deployer este ano. Keren acrescentou que o incidente realça preocupações mais amplas em torno da segurança operacional e da concentração de permissões privilegiadas do deployer associadas a protocolos DeFi auditados.

Na terça-feira, o responsável Manuel Aráoz, da empresa de segurança cripto OpenZeppelin, disse que considera “todo o DeFi” inseguro, citando a assimetria entre atacantes e defensores.

Contexto Mais Alargado

O exploit continua um dos piores períodos para exploits em DeFi, aparentemente impulsionado por avanços em inteligência artificial, com dezenas de protocolos comprometidos por mais de 600 milhões de dólares desde abril, liderados pelo exploit de 292 milhões de dólares da Kelp DAO.

Esta é uma história em desenvolvimento.