I ricercatori di sicurezza hanno indicato un exploit in corso che colpisce il protocollo Stake DAO su Arbitrum, dopo che un attaccante ha mintato un impressionante quantitativo di 5,4 trilioni di token vsdCRV. L’attaccante non si è fermato al minting: sta attivamente convertendo questi token in ether, sollevando serie preoccupazioni riguardo alla vulnerabilità del protocollo e allo stato generale della sicurezza dei progetti DeFi basati su Arbitrum.
vsdCRV è un asset sintetico legato alle pool di liquidità degli stablecoin di Curve, utilizzato nell’ecosistema Stake DAO per strategie di rendimento e fornitura di liquidità. Gonfiando l’offerta di vsdCRV a livelli così estremi, l’attaccante ha effettivamente diluito il valore del token e i meccanismi di staking sottostanti, minando la fiducia degli utenti. Il volume di minting supera di gran lunga la normale offerta circolante, suggerendo un grave fallimento nei controlli di minting di Stake DAO o nella validazione degli oracle.
La dinamica dell’exploit è ancora sotto indagine, ma fonti indicano che sfrutta una falla nella logica di minting dello smart contract, possibilmente legata a manipolazioni degli oracle o a permessi di minting non controllati. Tali vulnerabilità, se confermate, espongono a rischi fondamentali i framework di governance e gestione del rischio dei protocolli DeFi, ancor di più considerando la notorietà di Stake DAO.
Mentre l’attaccante scambia vsdCRV per ether, le pool di liquidità subiscono una pressione crescente. Questa vendita potrebbe causare forti slippage sugli exchange decentralizzati di Arbitrum, influenzando la scoperta dei prezzi e l’efficienza della liquidità delle coppie di trading ETH. I trader esposti a prodotti di staking basati su vsdCRV potrebbero subire perdite a causa della distorsione del peg del token che si ripercuote su mercati derivati e strategie vault.
Stake DAO non ha ancora pubblicato una risposta ufficiale né sospeso la funzionalità di minting del contratto, lasciando gli utenti esposti in una finestra critica. Gli osservatori dell’ecosistema Arbitrum seguiranno da vicino eventuali fix d’emergenza o recuperi di fondi nelle prossime ore.
I trader dovrebbero monitorare il prezzo di ether e le variazioni di liquidità sugli exchange decentralizzati di Arbitrum, soprattutto perché la fiducia ridotta in vsdCRV potrebbe comportare un effetto domino di defezioni dal protocollo. L’evento sottolinea i rischi persistenti legati agli smart contract, una sfida sistemica per le piattaforme DeFi, anche per quelle con basi utenti consolidate e storici audit.
Il prossimo aggiornamento di Stake DAO e qualsiasi intervento da parte dei validatori di Arbitrum saranno cruciali. Nel frattempo, i partecipanti al mercato farebbero bene a rivalutare le proprie esposizioni posizionali legate a vsdCRV, in un clima di incertezza aumentata circa i controlli interni del protocollo e la sicurezza dei prodotti di staking con leva.
Stake DAO colpito da massiccio exploit dopo il mint di 5,4T vsdCRV
Un attaccante ha sfruttato una vulnerabilità di Stake DAO mintando 5,4 trilioni di vsdCRV su Arbitrum e sta convertendo i fondi in ether, sollevando gravi preoccupazioni sulla sicurezza.