Stake DAO Đối mặt với lỗ hổng bị khai thác liên tục sau khi đúc 5,4 nghìn tỷ vsdCRV

Stake DAO, một nền tảng DeFi tập trung vào các chiến lược tạo lợi nhuận tự động, đang gặp một cuộc khai thác liên tục sau khi kẻ tấn công đã đúc hơn 5,4 nghìn tỷ token vsdCRV trên Arbitrum và chủ động hoán đổi chúng lấy ETH, nhiều công ty bảo mật blockchain đã báo cáo vào hôm thứ Tư. Nguyên nhân gốc được nghi ngờ là khóa riêng của người triển khai (deployer) của Stake DAO bị xâm phạm, cho phép kẻ tấn công thao túng cấu hình của cầu nối cross-chain vsdCRV. Sự cố này tiếp nối làn sóng các vụ khai thác DeFi tăng mạnh kể từ tháng 4, với hơn 600 triệu USD bị đánh cắp trên hàng chục giao thức, bao gồm vụ khai thác trị giá 292 triệu USD của Kelp DAO, khi các tiến bộ trong trí tuệ nhân tạo dường như đang thúc đẩy mức độ tinh vi của các cuộc tấn công.

Chi tiết kỹ thuật của vụ khai thác

Kẻ tấn công đã đúc hơn 5,4 nghìn tỷ vsdCRV trên Arbitrum và hiện đang chủ động hoán đổi nó lấy ETH, theo Blockaid. PeckShield cho biết đã có 43,78 ETH (91.000 USD) trị giá token được hoán đổi và chuyển qua cầu nối sang Ethereum. vsdCRV, hay vote-boosted sdCRV, là một token phái sinh liên quan đến lợi nhuận gắn với hệ sinh thái Curve Finance và được sử dụng trong Stake DAO.

BlockSec giải thích rằng kẻ tấn công dường như đã lấy được khóa riêng của deployer và đặt một peer tùy ý cho vsdCRV. “Sử dụng peer đó, họ đã giả mạo một thông điệp độc hại, kích hoạt việc đúc không điều kiện khoảng 5,44T vsdCRV vào địa chỉ của họ,” BlockSec cho biết.

Đồng sáng lập kiêm CPO Shalev Keren của Sodot cho The Block biết rằng “khóa deployer của Stake DAO trên Arbitrum đã được dùng để chuyển hướng cấu hình cầu nối cross-chain của vsdCRV sang một hợp đồng do kẻ tấn công kiểm soát trên Ethereum, và khoảng 25 giây sau, hợp đồng đó đã gửi một thông điệp LayerZero trở lại qua, khiến token Arbitrum hợp lệ mint ra hơn 5 nghìn tỷ vsdCRV cho kẻ tấn công, hiện đang xả nó lấy ETH.” Keren làm rõ rằng “không có lỗi trong smart-contract ở đây, cũng không có lỗi trong LayerZero; chỉ có một khóa riêng, điều khiển một hàm cấu hình đặc quyền, không có multisig và không có độ trễ giữa lúc thay đổi cấu hình đi qua và lúc lệnh mint được ghi nhận lên onchain.”

Phản hồi chính thức

Stake DAO cho biết họ đã nắm được tình hình và kêu gọi người dùng không tương tác với vsdCRV.

Phân tích an ninh

Shalev Keren nói với The Block rằng vụ khai thác của Stake DAO có cấu trúc tương tự vụ Wasabi hồi tháng trước và một số vụ lộ khóa deployer khác trong năm nay. Keren cho biết sự cố này làm nổi bật những lo ngại rộng hơn về an ninh vận hành và sự tập trung quyền triển khai đặc quyền gắn với các giao thức DeFi đã được kiểm toán.

Vào hôm thứ Ba, Manuel Aráoz của công ty bảo mật crypto OpenZeppelin cho biết ông coi “tất cả DeFi” là không an toàn, khi chỉ ra sự bất đối xứng giữa kẻ tấn công và người phòng thủ.

Bối cảnh rộng hơn

Vụ khai thác tiếp tục diễn ra trong một trong những giai đoạn tồi tệ nhất đối với các vụ khai thác DeFi, dường như được thúc đẩy bởi các tiến bộ trong trí tuệ nhân tạo, với hàng chục giao thức bị hack hơn 600 triệu USD kể từ tháng 4, dẫn đầu bởi vụ khai thác 292 triệu USD của Kelp DAO.

Đây là một câu chuyện đang được cập nhật.