Исследователи безопасности зафиксировали текущую атаку на протокол Stake DAO в сети Arbitrum после того, как злоумышленник выпустил невероятные 5,4 триллиона токенов vsdCRV. Атакующий не ограничился только мятингом – он активно обменивает эти токены на эфир, что вызывает серьёзные опасения относительно уязвимости протокола и общей безопасности проектов DeFi на базе Arbitrum.
vsdCRV – это синтетический актив, привязанный к пулу ликвидности стейблкоинов Curve, используемый внутри экосистемы Stake DAO для доходных стратегий и предоставления ликвидности. Увеличивая предложение vsdCRV до таких экстремальных значений, атакующий фактически размывает ценность токена и подрывает механизмы стейкинга, что снижает доверие пользователей. Объем выпуска превосходит нормальный оборот в несколько порядков, что свидетельствует о критическом сбое в контроле за выпуском токенов или валидацией ораклов в Stake DAO.
Механика атаки пока исследуется, однако источники указывают, что она использует уязвимость в логике выпуска токенов смарт-контракта, возможно связанную с манипуляциями ораклов или отсутствием проверки прав на выпуск. Такие уязвимости, если подтвердятся, показывают фундаментальные риски в управлении и системе управления рисками DeFi-протоколов, особенно учитывая значимость Stake DAO.
Пока атакующий меняет vsdCRV на эфир, пулы ликвидности испытывают возросшее давление. Этот распродаж может вызвать значительный проскальзывание на децентрализованных биржах Arbitrum, что повлияет на ценообразование и эффективность ликвидности торговых пар с ETH. Трейдеры, задействованные в продуктах стейкинга на базе vsdCRV, могут понести убытки из-за искажений привязки токена, что распространится и на производные рынки, и на стратегии с использованием депозитариев.
Stake DAO пока не опубликовали официального ответа и не приостановили функцию выпуска токенов, оставляя пользователей в уязвимом положении в критический момент. Наблюдатели за экосистемой Arbitrum внимательно следят за возможными срочными исправлениями или возвратом средств в ближайшие часы.
Трейдерам рекомендуется следить за ценой эфира и изменениями ликвидности на DEX Arbitrum, особенно учитывая, что потеря доверия к vsdCRV может привести к массовому бегству из протокола. Этот инцидент подчёркивает продолжающиеся риски смарт-контрактов, которые остаются системной проблемой для DeFi-платформ, даже обладающих значительной базой пользователей и проведёнными аудитами.
Следующее обновление Stake DAO и возможное вмешательство валидаторов Arbitrum будут решающими. До тех пор участникам рынка стоит переосмыслить свою экспозицию к позициям, связанным с vsdCRV, на фоне высокой неопределённости по внутренним контролям протокола и безопасности продуктов с блокировкой средств.
Stake DAO подверглась масштабной атаке с выпуском 5,4 трлн vsdCRV
Атакующий сгенерировал 5,4 триллиона токенов vsdCRV на Arbitrum и меняет их на эфир, что вызывает серьёзные опасения по безопасности.