Stake DAO Menghadapi Eksploitasi Berkelanjutan Setelah 5,4 Triliun vsdCRV Dicetak

Stake DAO, sebuah platform DeFi yang berfokus pada strategi yield otomatis, mengalami eksploitasi yang masih berlangsung setelah seorang penyerang mencetak lebih dari 5,4 triliun token vsdCRV di Arbitrum dan secara aktif menukarnya dengan ETH, demikian laporan dari beberapa perusahaan keamanan blockchain pada Rabu. Dugaan penyebab utamanya adalah kunci privat deployer Stake DAO yang sudah terkompromi, sehingga memungkinkan penyerang memanipulasi konfigurasi jembatan lintas-chain vsdCRV. Insiden ini menambah lonjakan eksploit DeFi sejak April, dengan lebih dari 600 juta dolar AS dicuri dari puluhan protokol, termasuk eksploit 292 juta dolar AS milik Kelp DAO, sementara kemajuan dalam kecerdasan buatan tampaknya mendorong peningkatan kecanggihan serangan.

Detail Teknis Eksploit

Penyerang mencetak lebih dari 5,4 triliun vsdCRV di Arbitrum dan saat ini menukarnya dengan ETH, menurut Blockaid. PeckShield melaporkan bahwa token senilai 43,78 ETH (91.000 dolar AS) telah ditukar dan dijembatani ke Ethereum. vsdCRV, atau vote-boosted sdCRV, adalah token turunan berbasis yield yang terkait dengan ekosistem Curve Finance dan digunakan di Stake DAO.

BlockSec menjelaskan bahwa penyerang tampaknya memperoleh kunci privat deployer dan menyetel peer arbitrer untuk vsdCRV. “Dengan peer itu, mereka memalsukan pesan berbahaya yang memicu pencetakan tanpa syarat ~5,44T vsdCRV ke alamat mereka,” kata BlockSec.

Sodot co-founder dan CPO Shalev Keren mengatakan kepada The Block bahwa “kunci deployer Stake DAO di Arbitrum digunakan untuk mengarahkan ulang konfigurasi jembatan lintas-chain vsdCRV ke kontrak yang dikendalikan penyerang di Ethereum, dan sekitar dua puluh lima detik kemudian, kontrak tersebut mengirim pesan LayerZero kembali melintasi, sehingga token Arbitrum yang sah mencetak lebih dari lima triliun vsdCRV ke penyerang, yang sekarang melepasnya untuk ETH.” Keren menegaskan bahwa “tidak ada bug pada smart contract di sini, dan tidak ada kelemahan di LayerZero; masalahnya ada pada satu kunci privat yang mengendalikan satu fungsi konfigurasi berprivilege, tanpa multisig dan tanpa penundaan antara perubahan konfigurasi yang diterapkan dan pencetakan yang selesai di onchain.”

Respons Resmi

Stake DAO mengatakan pihaknya mengetahui situasinya dan mendesak pengguna agar tidak berinteraksi dengan vsdCRV.

Analisis Keamanan

Shalev Keren mengatakan kepada The Block bahwa eksploit Stake DAO memiliki kemiripan secara struktural dengan insiden Wasabi bulan lalu dan beberapa kompromi kunci deployer lainnya yang terjadi tahun ini. Keren menambahkan bahwa insiden ini menyoroti kekhawatiran yang lebih luas terkait keamanan operasional dan konsentrasi izin deployer berprivilege yang menempel pada protokol DeFi yang telah diaudit.

Pada Selasa, perusahaan keamanan kripto OpenZeppelin Manuel Aráoz mengatakan bahwa ia menganggap “semua DeFi” tidak aman, dengan mengutip ketimpangan antara penyerang dan pembela.

Konteks Lebih Luas

Eksploit ini terus berlanjut pada salah satu periode terburuk untuk eksploit DeFi, tampaknya dipicu oleh kemajuan dalam kecerdasan buatan, dengan puluhan protokol diretas senilai lebih dari 600 juta dolar AS sejak April, dipimpin oleh eksploit 292 juta dolar AS milik Kelp DAO.

Ini adalah kabar yang sedang berkembang.