เมื่อวันที่ 27 พฤษภาคม แพลตฟอร์มการเงินแบบกระจายอำนาจ Stake DAO ประสบเหตุช่องโหว่ทำเหรียญเพิ่มได้ไม่สิ้นสุดบนโปรโตคอลของ Arbitrum อย่างไรก็ตาม ผู้ร่วมก่อตั้งหลักของ Stake DAO รีบคว้าเงินบนเมนเน็ตที่รองรับโทเค็นได้อย่างรวดเร็ว ปิดใช้งานบริดจ์ vsdCRV และสามารถควบคุมเหตุได้สำเร็จ
- ประเด็นสำคัญ:
-
- Stake DAO ประสบเหตุช่องโหว่ทำเหรียญเพิ่มได้ไม่สิ้นสุดบน Arbitrum ในวันที่ 27 พฤษภาคม ซึ่งรายงานว่า ผู้โจมตีสามารถนำสินทรัพย์ดิจิทัลออกไปได้มูลค่า 91,000 ดอลลาร์
-
- เหตุการณ์รั่วไหลดังกล่าวจุดชนวนการถกเถียงแบบไวรัลเรื่องความปลอดภัยของ DeFi ที่ได้รับแรงกระตุ้นจาก Manuel Aráoz ผู้ร่วมก่อตั้ง Openzeppelin
-
- Stake DAO กำลังยุติการใช้งาน Arbitrum สำหรับตลาด asdCRV Llamalend และทำงานร่วมกับหน่วยงานบังคับใช้กฎหมาย
ช่องโหว่ทำเหรียญเพิ่มได้ไม่สิ้นสุด กระตุ้นการเอ็กซ์พลอยต์
แพลตฟอร์มการเงินแบบกระจายอำนาจ (DeFi) Stake DAO ยืนยันเมื่อวันที่ 27 พฤษภาคม ว่าโปรโตคอลบนเครือข่ายเลเยอร์-2 ของ Arbitrum ถูกกำหนดเป้าหมายด้วยช่องโหว่ ซึ่งทำให้ฝ่ายที่ไม่ได้รับอนุญาตสามารถสร้างโทเค็นสังเคราะห์ได้อย่างมุ่งร้ายในระดับหลักล้านล้านโทเค็น รายงานเบื้องต้นของบริษัทความปลอดภัยบล็อกเชน Blockaid ระบุว่า ผู้โจมตีใช้ประโยชน์จากความเปราะบางในการทำเหรียญเพิ่มได้ไม่สิ้นสุดที่เชื่อมโยงกับตรรกะของ vault vsdCRV ของ Stake DAO และระบบกระจายรางวัลแบบอัตโนมัติ
สัญญายอมรับการเปลี่ยนผ่านสถานะที่ไม่ถูกต้อง ส่งผลให้เกิดความล้มเหลวด้านบัญชีภายในอย่างรุนแรง ช่องโหว่นี้ทำให้ผู้โจมตีสามารถพองอุปทานของ vsdCRV ได้ 5.4 ล้านล้านหน่วย มีรายงานบางส่วนว่าผู้โจมตีสามารถนำสินทรัพย์ดิจิทัลที่โอนย้ายได้ประมาณ 91,000 ดอลลาร์ ออกจากพูลสภาพคล่องที่ได้รับผลกระทบ ก่อนที่ปัญหาจะถูกระบุและหยุดยั้ง
ผู้ร่วมก่อตั้งหลักของ Stake DAO รีบดำเนินการเพื่อบรรเทาความเสียหายเพิ่มเติม โดยประกาศว่าพวกเขาสามารถรักษาเงินสนับสนุนของ vsdCRV บน Ethereum mainnet ไว้ได้สำเร็จ เนื่องจากการควบคุมได้อย่างรวดเร็ว เจ้าหน้าที่ของโปรโตคอลจึงยืนยันว่าไม่มีเงินบนเมนเน็ตที่ผู้โจมตีจะสามารถยึดได้ นอกจากนี้ ทีมได้ปิดใช้งานบริดจ์ vsdCRV ซึ่งทำให้สามารถจำกัดผลกระทบทางเศรษฐกิจของการเอ็กซ์พลอยต์ไว้ในระบบนิเวศของ Arbitrum ได้สำเร็จ
“จากการประเมินในปัจจุบันของเรา Boosted yields, Liquid Lockers, Votemarket & การปล่อยกู้ของ Stake DAO บน Morpho ได้รับผลกระทบไม่ชิง” Stake DAO ระบุในแถลงการณ์ที่เผยแพร่ผ่านแพลตฟอร์มโซเชียลมีเดีย X
อย่างไรก็ดี โปรโตคอลชี้ว่า ตลาด Arbitrum asdCRV Llamalend จะถูกยุติการใช้งานอย่างถาวรหลังเหตุการณ์ดังกล่าว Stake DAO แนะนำให้ผู้ใช้งานไม่โต้ตอบกับสัญญา vsdCRV และเร่งให้ผู้ฝาก crvUSD ย้ายเงินทุนของตนไปยังตลาด Llamalend อื่นที่ไม่ได้รับผลกระทบ
จุดเปราะบางสำหรับความปลอดภัยของ DeFi
หน่วยงานบังคับใช้กฎหมายได้รับการแจ้งเตือนแล้ว และ Stake DAO ระบุว่ากำลังร่วมมือกับพาร์ทเนอร์ด้านความปลอดภัยภายนอกเพื่อติดตามการไหลของสินทรัพย์ที่ถูกขโมย และทำการตรวจสอบทางนิติวิทยาศาสตร์อย่างครอบคลุมกับสัญญาอัจฉริยะที่ถูกกระทบ
เวลาของเหตุการณ์ดังกล่าวเกิดขึ้นในขณะที่ระบบนิเวศ DeFi ในวงกว้างพยายามโต้กลับทฤษฎีที่เป็นไวรัลซึ่งได้รับความนิยมจาก Manuel Aráoz ผู้ร่วมก่อตั้ง Openzeppelin โดยก่อนหน้านี้เขาเพิ่งยืนยันว่า “DeFi ทั้งหมดไม่ปลอดภัย” คำประเมินที่มืดมนของ Aráoz สร้างความตกตะลึงให้แก่ผู้มีส่วนร่วมในอุตสาหกรรม และบังคับให้เกิดการทบทวนครั้งใหญ่ในภาคส่วนที่กำลังเหนื่อยล้าจากคลื่นเหตุโจมตีเอ็กซ์พลอยต์ของโปรโตคอลและช่องโหว่เชิงโครงสร้างอยู่แล้ว การเอ็กซ์พลอยต์ของ Stake DAO ตอกย้ำทฤษฎีของ Aráoz ทำให้ความพยายามของอุตสาหกรรมในการฟื้นความเชื่อมั่นของทั้งสถาบันและผู้ค้ารายย่อยยิ่งซับซ้อนขึ้น
ทฤษฎีดังกล่าวทำให้ Openzeppelin ออกแถลงการณ์เพื่อแยกตัวออกจาก Aráoz ซึ่งบริษัทกล่าวว่าออกจากองค์กรในปี 2019 Openzeppelin ยังได้ตอบประเด็นกังวลสำคัญที่ Aráoz ยกขึ้น โดยยอมรับว่าแม้ปัญญาประดิษฐ์จะเป็นภัยคุกคามที่แท้จริง แต่ก็เป็นเครื่องมือป้องกันที่ทรงพลังเมื่อใช้งาน “ด้วยความเข้มงวดและการตัดสินโดยผู้เชี่ยวชาญที่เป็นมนุษย์”
“นักวิจัยของเราหันมาใช้ AI ทุกวันเพื่อจับปัญหาและเคสขอบได้มากขึ้น” Openzeppelin ระบุในแถลงการณ์ “คำตอบต่อความเสี่ยงของ AI ไม่ใช่การถอยจาก DeFi แต่คือการรักษาความปลอดภัยที่ดีกว่า”
หันไปที่เหตุการณ์ความปลอดภัยที่เกิดขึ้นล่าสุด Openzeppelin ยืนยันว่าเหตุการณ์เหล่านี้จำนวนมากสามารถโยงกลับไปสู่ความล้มเหลวด้านความปลอดภัยเชิงปฏิบัติการ มากกว่าจะเป็นบั๊กของสัญญาอัจฉริยะ
