5 月 27 日,去中心化金融平台 Stake DAO 在其 Arbitrum 协议上遭遇了无限铸造(infinite-minting)漏洞利用。然而,Stake DAO 核心贡献者迅速锁定了支撑代币的主网资金,关闭了 vsdCRV 桥,并成功遏制了此次漏洞利用。
- 要点:
-
- Stake DAO 于 5 月 27 日在 Arbitrum 上遭遇无限铸造漏洞利用,据称攻击者从中掏走了 91,000 美元的数字资产。
-
- 此次漏洞促发了一场围绕 DeFi 安全的病毒式争论,该争论由 Openzeppelin 联合创始人 Manuel Aráoz 引发。
-
- Stake DAO 正在逐步停止 Arbitrum asdCRV Llamalend 市场,并与执法部门合作。
无限铸造漏洞“旁门”触发漏洞利用
去中心化金融(DeFi)平台 Stake DAO 于 5 月 27 日确认,其在 Arbitrum 二层网络上的协议遭到了漏洞利用,使未经授权的方得以恶意铸造数万亿枚合成代币。根据区块链安全公司 Blockaid 的初步调查结果,攻击者利用了与 Stake DAO 的 vsdCRV 保险库逻辑以及自动化奖励分发系统相关的无限铸造漏洞。
合约接受了无效的状态转换,导致严重的内部账务故障。该漏洞使攻击者得以将 vsdCRV 的供应量膨胀至 5.4 万亿单位。部分报道称,在问题被识别并叫停之前,攻击者能够从受影响的流动性池中大约转走 91,000 美元的可转账数字资产。
Stake DAO 核心贡献者迅速采取措施以降低进一步损失,宣布他们已成功在以太坊主网上锁定了 vsdCRV 的支撑资金。由于遏制及时,协议官员确认攻击者无法扣押主网资金。此外,团队停用 vsdCRV 桥,成功将此次漏洞利用的经济影响局限在 Arbitrum 生态系统内。
“基于我们当前的评估,Boosted yields、Liquid Lockers、Votemarket 以及在 Morpho 上的 Stake DAO 借贷不受影响,”Stake DAO 在通过社交媒体平台 X 发布的声明中表示。
协议同时指出,然而,Arbitrum asdCRV Llamalend 市场将在此次事件之后被永久终止。Stake DAO 已建议用户不要与 vsdCRV 合约交互,并敦促 crvUSD 存款人将资本迁移至其他未受影响的 Llamalend 市场。
DeFi 安全的岌岌可危时刻
执法机构已被通知,Stake DAO 表示其正在与外部安全合作伙伴协作,以追踪被盗资产的流向,并对受损的智能合约开展全面的取证审计。
事件发生的时点,恰逢更广泛的 DeFi 生态系统正试图反击由 Openzeppelin 联合创始人 Manuel Aráoz 近期推广的一种病毒式论断。Aráoz 最近断言“所有 DeFi 都不安全”。Aráoz 的严峻评估震撼了业界参与者,使一个本已因一波协议漏洞利用与结构性脆弱性而疲惫的行业被迫重新审视。Stake DAO 的此次漏洞利用印证了 Aráoz 的论断,同时也使行业恢复机构与散户信心的努力变得更加复杂。
该论断促使 Openzeppelin 发表声明,与 Aráoz 保持距离。Openzeppelin 表示,Aráoz 于 2019 年离开了公司。Openzeppelin 也回应了 Aráoz 提出的关键担忧,承认尽管人工智能确实是一个真实的风险向量,但它在“以严谨态度与专家的人类判断”之下同样也是一种强大的防御工具。
“我们的研究人员每天都使用 AI 来发现更多问题和边界案例,”Openzeppelin 在声明中表示。“应对 AI 风险的办法不是从 DeFi 后退,而是更好的安全。”
在回应近期接连发生的安全事件时,Openzeppelin 坚称,这些事件中的许多都可以追溯到运营安全方面的失误,而不是智能合约漏洞。
