Badacze bezpieczeństwa zidentyfikowali trwający exploit protokołu Stake DAO na Arbitrum, gdzie atakujący wybili zdumiewające 5,4 biliona tokenów vsdCRV. Sprawca nie poprzestał na wybiciu – aktywnie zamienia tokeny na ether, co budzi poważne wątpliwości dotyczące podatności protokołu oraz ogólnej sytuacji bezpieczeństwa projektów DeFi opartych na Arbitrum.
vsdCRV to syntetyczny aktyw powiązany z pulami płynności stablecoinów Curve, wykorzystywany w ekosystemie Stake DAO do strategii yield farming i dostarczania płynności. Inflacja podaży vsdCRV do takiego poziomu skutecznie rozcieńczyła wartość tokena oraz podstawowe mechanizmy stakingowe, podważając zaufanie użytkowników. Wolumen wybicia przewyższa normalną podaż wielokrotnie, co wskazuje na poważną awarię kontroli wybicia Stake DAO lub mechanizmu walidacji oracle.
Mechanika exploita jest nadal badana, ale źródła sugerują, że wykorzystuje on lukę w logice wybicia kontraktu smart, być może powiązaną z manipulacją oracle lub niekontrolowanymi uprawnieniami do wybicia. Jeśli potwierdzone, takie podatności oznaczają fundamentalne ryzyko w zakresie zarządzania i kontroli ryzyka w protokołach DeFi, zwłaszcza biorąc pod uwagę renomę Stake DAO.
W momencie, gdy atakujący zamienia vsdCRV na ether, pula płynności jest pod dużym napięciem. Ta wyprzedaż może spowodować poważne poślizgi cenowe na zdecentralizowanych giełdach Arbitrum, wpływając na odkrywanie cen i efektywność płynności par handlowych ETH. Traderzy korzystający z produktów stakingowych opartych na vsdCRV mogą odnotować straty w wyniku zaburzenia kursu tokena, które odbije się na rynkach pochodnych i strategiach vault.
Stake DAO jak dotąd nie opublikowało oficjalnego oświadczenia ani nie wstrzymało funkcji wybicia w kontrakcie, pozostawiając użytkowników na niebezpiecznym etapie. Obserwatorzy ekosystemu Arbitrum uważnie śledzą wszelkie awaryjne poprawki lub próby odzyskania środków w najbliższych godzinach.
Traderzy powinni monitorować cenę ether i zmiany w płynności na DEX-ach Arbitrum, zwłaszcza że spadek zaufania do vsdCRV może wywołać szerszą falę odpływu z protokołu. To zdarzenie ukazuje trwałe ryzyka kontraktów smart, które pozostają systemowym wyzwaniem dla platform DeFi, nawet tych z obszernymi bazami użytkowników i historią audytów.
Następna aktualizacja Stake DAO oraz działania walidatorów Arbitrum będą miały kluczowe znaczenie. Do tego czasu uczestnicy rynku powinni rozważyć ponowną ocenę ekspozycji na pozycje związane z vsdCRV, mając na uwadze podwyższoną niepewność co do wewnętrznych mechanizmów kontroli protokołu i bezpieczeństwa produktów stakingowych na dźwigni.
Stake DAO dotknięte przez potężny exploit po wybiciu 5,4 bln vsdCRV
Atakujący wykorzystał lukę w Stake DAO, wybito 5,4 biliona vsdCRV na Arbitrum i wymieniono je na ether, co wzbudza poważne obawy dotyczące bezpieczeństwa.