Stake DAO сталкивается с продолжающейся уязвимостью после чеканки 5,4 триллиона vsdCRV

Stake DAO, платформа DeFi, ориентированная на автоматизированные стратегии получения дохода, сталкивается с продолжающимся взломом после того, как злоумышленник отчеканил более 5,4 триллиона токенов vsdCRV на Arbitrum и активно обменял их на ETH, сообщили в среду несколько компаний по блокчейн-безопасности. Предполагаемая первопричина — скомпрометированный приватный ключ развертывателя (deployer) Stake DAO, который позволил атакующему манипулировать настройкой межсетевого моста vsdCRV. Этот инцидент добавляется к всплеску взломов в DeFi с апреля: было похищено более 600 миллионов долларов в десятках протоколов, включая взлом Kelp DAO на 292 миллиона долларов, поскольку, по-видимому, прогресс в области искусственного интеллекта подталкивает к росту сложности атак.

Технические детали взлома

Злоумышленник отчеканил более 5,4 триллиона vsdCRV на Arbitrum и сейчас активно обменивает их на ETH, согласно Blockaid. PeckShield сообщила, что токены на сумму 43,78 ETH (91 000 долларов) были обменяны и переброшены в Ethereum. vsdCRV, или vote-boosted sdCRV, — это токен, связанный с доходностью, производный инструмент, привязанный к экосистеме Curve Finance и используемый в Stake DAO.

BlockSec объяснила, что, похоже, атакующий получил приватный ключ развертывателя и задал произвольного партнёра (peer) для vsdCRV. «Используя этот peer, они подделали вредоносное сообщение, которое запустило безусловное чеканение ~5,44T vsdCRV на их адрес», — заявила BlockSec.

Сооснователь и CPO Sodot Шалев Керен сообщил The Block, что «ключ развертывателя Stake DAO на Arbitrum использовался для перенаправления конфигурации межсетевого моста vsdCRV на контракт, контролируемый атакующим, в Ethereum, и примерно через двадцать пять секунд этот контракт отправил обратно сообщение LayerZero, из-за чего легитимный токен Arbitrum отчеканил более пяти триллионов vsdCRV для атакующего, который сейчас распродаёт их за ETH». Керен уточнил, что «здесь нет ошибки в смарт-контракте и нет уязвимости в LayerZero — проблема в одном приватном ключе, управляющем одной привилегированной функцией конфигурации, без multisig и без задержки между тем, как изменение конфигурации проходит, и тем, как чеканка очищается onchain».

Официальный ответ

Stake DAO заявила, что осведомлена о ситуации, и призвала пользователей не взаимодействовать с vsdCRV.

Анализ безопасности

Шалев Керен сообщил The Block, что взлом Stake DAO структурно похож на инцидент Wasabi месяц назад и на несколько других компрометаций ключей развертывателя в этом году. Керен добавил, что инцидент подчёркивает более широкие опасения по поводу операционной безопасности и концентрации привилегированных разрешений развертывателя, привязанных к аудированным протоколам DeFi.

Во вторник глава криптобезопасности OpenZeppelin Мануэль Араос заявил, что он считает «все DeFi» небезопасным, ссылаясь на асимметрию между атакующими и защитниками.

Более широкий контекст

Взлом продолжается в один из худших периодов для взломов в DeFi — по-видимому, это связано с прогрессом в искусственном интеллекте: десятки протоколов были взломаны на более чем 600 миллионов долларов с апреля, возглавив список — взлом Kelp DAO на 292 миллиона долларов.

Это развивающаяся история.