Stake DAO fait face à une exploitation en cours après 5,4 billions vsdCRV frappés

Stake DAO, une plateforme DeFi axée sur des stratégies de rendement automatisées, subit un exploit en cours après qu’un attaquant a émis plus de 5,4 billions de tokens vsdCRV sur Arbitrum et les a échangés activement contre de l’ETH, ont rapporté mercredi plusieurs sociétés de sécurité blockchain. La cause probable serait une clé privée du déployeur de Stake DAO compromise, permettant à l’attaquant de manipuler la configuration du pont cross-chain de vsdCRV. Cet incident s’ajoute à une vague d’exploits DeFi depuis avril, avec plus de 600 millions de dollars volés sur des dizaines de protocoles, dont l’exploit de 292 millions de dollars de Kelp DAO, tandis que les avancées en intelligence artificielle semblent accroître la sophistication des attaques.

Détails techniques de l’exploit

L’attaquant a émis plus de 5,4 billions de vsdCRV sur Arbitrum et les échange activement contre de l’ETH, selon Blockaid. PeckShield a indiqué que des tokens d’une valeur de 43,78 ETH (91 000 dollars) avaient été échangés et pontés vers Ethereum. vsdCRV, ou vote-boosted sdCRV, est un token dérivé lié au rendement, rattaché à l’écosystème Curve Finance et utilisé dans Stake DAO.

BlockSec a expliqué que l’attaquant semble avoir obtenu la clé privée du déployeur et avoir défini un pair arbitraire pour vsdCRV. « En utilisant ce pair, ils ont forgé un message malveillant qui a déclenché un mintage inconditionnel d’environ 5,44T de vsdCRV vers leur adresse », a déclaré BlockSec.

Le cofondateur de Sodot et CPO Shalev Keren a déclaré à The Block que « la clé du déployeur de Stake DAO sur Arbitrum a été utilisée pour rediriger la configuration du pont cross-chain de vsdCRV vers un contrat contrôlé par l’attaquant sur Ethereum, et environ vingt-cinq secondes plus tard, ce contrat a renvoyé un message LayerZero par-delà, provoquant le mint du token Arbitrum légitime à plus de cinq billions de vsdCRV vers l’attaquant, qui le revend maintenant pour de l’ETH. » Keren a précisé qu’« il n’y a pas de bug de smart contract ici, et pas de faille dans LayerZero : il s’agit d’une seule clé privée, contrôlant une unique fonction de configuration privilégiée, sans multisig et sans délai entre le passage du changement de configuration et l’effacement du mint sur la chaîne. »

Réponse officielle

Stake DAO a indiqué qu’il était au courant de la situation et a exhorté les utilisateurs à ne pas interagir avec vsdCRV.

Analyse de sécurité

Shalev Keren a déclaré à The Block que l’exploit de Stake DAO est structurellement similaire à l’incident Wasabi du mois dernier et à plusieurs autres compromissions de clés de déployeur survenues cette année. Keren a ajouté que l’incident met en lumière des inquiétudes plus larges concernant la sécurité opérationnelle et la concentration des permissions privilégiées de déploiement liées à des protocoles DeFi audités.

Mardi, le responsable Manuel Aráoz de la société de sécurité crypto OpenZeppelin a déclaré qu’il considère « tout le DeFi » comme non sûr, citant l’asymétrie entre les attaquants et les défenseurs.

Contexte plus large

L’exploit se poursuit pendant l’une des pires périodes pour les exploits DeFi, semblant tirée par les avancées en intelligence artificielle : des dizaines de protocoles ont été piratés pour plus de 600 millions de dollars depuis avril, emmenés par l’exploit de 292 millions de dollars de Kelp DAO.

C’est une histoire en développement.