Stake DAO,這是一個聚焦於自動化收益策略的 DeFi 平台,據多家區塊鏈安全公司週三報導,正在經歷一起持續中的攻擊事件。攻擊者在 Arbitrum 上鑄造超過 5.4 兆 vsdCRV 代幣,並積極將其兌換為 ETH。被懷疑的根本原因是 Stake DAO 部署者的私鑰遭到入侵,讓攻擊者能夠操縱 vsdCRV 跨鏈橋的設定。此事件使得自 4 月以來 DeFi 攻擊爆發的趨勢持續擴大;在數十個協議中,已被竊取超過 6 億美元,其中包含 Kelp DAO 的 2.92 億美元攻擊事件。看來,隨著人工智慧的進展,攻擊複雜度正在提升。
Exploit 的技術細節
根據 Blockaid 的說法,攻擊者在 Arbitrum 上鑄造了超過 5.4 兆 vsdCRV,並正在積極將其兌換為 ETH。PeckShield 報導稱,價值 9.1 萬美元、共 43.78 ETH 的代幣已被交換並跨接至以太坊。vsdCRV,或稱 vote-boosted sdCRV,是一種與收益相關的衍生代幣,與 Curve Finance 生態系相關,並在 Stake DAO 內使用。
BlockSec 解釋,攻擊者似乎已取得部署者的私鑰,並為 vsdCRV 設定了一個任意的對等方(peer)。「透過這個 peer,他們偽造了一則惡意訊息,觸發對其位址進行無條件的 ~5.44T vsdCRV 鑄造,」BlockSec 表示。
Sodot 共同創辦人兼 CPO Shalev Keren 告訴 The Block:「在 Arbitrum 上,Stake DAO 的部署者金鑰被用來將 vsdCRV 跨鏈橋的設定重新指向到以太坊上一個由攻擊者控制的合約,然後大約二十五秒後,該合約跨鏈傳回一則 LayerZero 訊息,導致合法的 Arbitrum 代幣鑄造超過五兆 vsdCRV 給攻擊者,該攻擊者目前正打算拋售換取 ETH。」Keren 澄清:「這裡沒有智慧合約的 bug,也沒有 LayerZero 的瑕疵;問題在於只有一把私鑰,控制一個具特權的設定功能,且在設定變更通過、以及 mint 在鏈上清算之間沒有 multisig,沒有延遲。」
官方回應
Stake DAO 表示其已知悉此情況,並敦促用戶不要與 vsdCRV 互動。
安全分析
Shalev Keren 告訴 The Block,Stake DAO 的攻擊在結構上與上個月的 Wasabi 事件類似,且今年還發生了數起部署者金鑰遭入侵的事件。Keren 補充稱,此事件凸顯了圍繞作業安全的更廣泛疑慮,以及與已審計 DeFi 協議相關、具特權的部署者權限集中化問題。
週二,加密安全公司 OpenZeppelin 的 Manuel Aráoz 表示,他認為「所有的 DeFi」都不安全,理由是攻擊者與防禦者之間存在不對稱性。
更廣泛的背景
此次攻擊持續延續 DeFi 出現了最糟的攻擊時期之一,似乎是由人工智慧的進展所驅動。自 4 月以來,已有數十個協議遭駭,被竊超過 6 億美元,其中由 Kelp DAO 的 2.92 億美元攻擊事件領銜。
這是一則持續發展中的報導。
