2025年5月27日、分散型金融(DeFi)プラットフォームのStake DAOは、Arbitrumプロトコルにおいて無限ミントのエクスプロイト被害に遭いました。 しかしStake DAOの中核コントリビューターは迅速にメインネット上の資金を確保し、トークンを裏付ける資金を押さえ、vsdCRVブリッジを停止して、エクスプロイトを首尾よく封じ込めました。
- 要点:
-
- Stake DAOは5月27日にArbitrum上で無限ミントのエクスプロイト被害を受け、伝えられるところでは攻撃者がデジタル資産で$91,000を吸い上げたとされています。
-
- この侵害は、Openzeppelinの共同創業者マヌエル・アラオスが火付け役となったDeFiセキュリティをめぐるバイラルな論争を加速させています。
-
- Stake DAOは、ArbitrumのasdCRV Llamalend市場を段階的に終了させつつあり、法執行機関とも連携しています。
無限ミントの抜け道がエクスプロイトを引き起こす
分散型金融(DeFi)プラットフォームのStake DAOは、5月27日に、レイヤー2ネットワークであるArbitrum上の自社プロトコルがエクスプロイトの標的になり、不正な主体が何兆もの合成トークンを悪意をもってミントできるようになったことを確認しました。ブロックチェーン・セキュリティ企業Blockaidによる予備調査では、攻撃者はStake DAOのvsdCRVバル トロジックと自動報酬配布システムに関連した無限ミントの脆弱性を突いたとのことです。
契約が無効な状態遷移を受け入れたことで、重大な内部会計上の不具合が発生しました。この抜け道により、攻撃者はvsdCRVの供給量を5.4兆ユニットにまで膨らませることができました。いくつかの報告では、この問題が発覚して停止されるまでに、攻撃者が影響を受けた流動性プールから、移転可能なデジタル資産としておよそ$91,000を引き出せた可能性があるとされています。
Stake DAOの中核コントリビューターはさらなる被害を抑えるために素早く動き、Ethereumメインネット上でvsdCRVの裏付けを確保することに成功したと発表しました。封じ込めが迅速だったため、プロトコル当局は、攻撃者がメインネットの資金を押収できないことを確認しています。さらにチームはvsdCRVブリッジを無効化し、エクスプロイトの経済的影響をArbitrumのエコシステムにうまく限定しました。
「現在の評価に基づけば、Boosted yields、Liquid Lockers、Votemarket、そしてMorpho上でのStake DAOレンディングは影響を受けていません」 と、Stake DAOはソーシャルメディア・プラットフォームXで共有された声明で述べました。
ただしプロトコルは、今回のインシデントを受けてArbitrumのasdCRV Llamalend市場は恒久的に終了する予定だと指摘しました。Stake DAOはユーザーに対し、vsdCRVコントラクトとのやり取りをしないよう助言しており、crvUSDの預託者には資本を、影響を受けない別のLlamalend市場へ移すよう促しています。
DeFiセキュリティにとって危うい分岐点
法執行機関には通知済みで、Stake DAOは、盗まれた資産の流れを追跡し、侵害されたスマートコントラクトについて包括的なフォレンジック監査を実施するため、外部のセキュリティパートナーと協力していると述べています。
事件のタイミングは、より広いDeFiエコシステムが、Openzeppelinの共同創業者マヌエル・アラオスによって広められたバイラルな主張に対して反撃を試みている最中でもあります。アラオスは最近、「すべてのDeFiは安全ではない」と断言しました。厳しい見立てにより業界関係者は衝撃を受け、すでにプロトコルのエクスプロイトの波や構造的な脆弱性に疲弊している分野で、事態の見直しが迫られることになりました。Stake DAOのエクスプロイトは、アラオスの主張に一撃を加え、業界が機関投資家と個人投資家の信頼を取り戻そうとする取り組みをより複雑にしています。
この主張を受けてOpenzeppelinは、同社が「2019年に同組織を離れた」としているアラオスとの距離を取る声明を発行しました。Openzeppelinはまた、アラオスによって提起された主要な懸念にも言及し、人工知能は実際の脅威ベクトルである一方で、「厳密さと専門家としての人間の判断」を用いることで、強力な防御手段にもなると認めました。
「私たちの研究者は、AIを毎日使ってより多くの問題やエッジケースを見つけています」 とOpenzeppelinは声明で述べました。 「AIリスクへの答えは、DeFiからの後退ではありません。より良いセキュリティを目指すことです。」
直近の相次ぐセキュリティ事故について触れながら、Openzeppelinは、これらの多くはスマートコントラクトのバグというより、運用上のセキュリティ(オペレーショナル・セキュリティ)の失敗にたどれるものだと主張しました。
