Pada 27 Mei, platform keuangan terdesentralisasi Stake DAO mengalami eksploit mint tak terbatas pada protokol Arbitrum-nya. Namun, kontributor inti Stake DAO dengan cepat mengamankan dana mainnet yang mendukung token, menutup jembatan vsdCRV, dan berhasil membendung eksploit tersebut.
- Poin Utama:
-
- Stake DAO mengalami eksploit mint tak terbatas di Arbitrum pada 27 Mei yang dilaporkan membuat penyerang menguras aset digital senilai $91.000.
-
- Kebobolan tersebut memicu perdebatan viral soal keamanan DeFi yang digerakkan oleh co-founder Openzeppelin Manuel Aráoz.
-
- Stake DAO akan menonaktifkan Arbitrum untuk pasar asdCRV Llamalend dan bekerja sama dengan aparat penegak hukum.
Celah Infinite-Mint Memicu Eksploit
Keuangan terdesentralisasi (DeFi), platform Stake DAO mengonfirmasi pada 27 Mei bahwa protokolnya di jaringan layer-2 Arbitrum menjadi target eksploit, memungkinkan pihak yang tidak berwenang secara jahat mencetak hingga triliunan token sintetis. Menurut temuan awal dari perusahaan keamanan blockchain Blockaid, penyerang memanfaatkan kerentanan infinite-minting yang terkait dengan logika brankas vsdCRV milik Stake DAO dan sistem distribusi reward otomatis.
Kontrak menerima peralihan status yang tidak valid, yang berujung pada kegagalan akuntansi internal yang parah. Celah ini memungkinkan penyerang membengkakkan suplai vsdCRV hingga 5,4 triliun unit. Beberapa laporan menyebut penyerang mampu menguras sekitar $91.000 dalam aset digital yang dapat dipindahkan dari kumpulan likuiditas yang terdampak sebelum masalah tersebut diidentifikasi dan dihentikan.
Kontributor inti Stake DAO bergerak cepat untuk mengurangi dampak lebih lanjut, mengumumkan bahwa mereka berhasil mengamankan dukungan vsdCRV di mainnet Ethereum. Karena pembendungan dilakukan dengan cepat, pejabat protokol mengonfirmasi bahwa tidak ada dana mainnet yang bisa disita oleh penyerang. Selain itu, tim menonaktifkan jembatan vsdCRV, sehingga dampak ekonomi eksploit dapat dibatasi dengan sukses hanya pada ekosistem Arbitrum.
“Berdasarkan penilaian kami saat ini, Boosted yields, Liquid Lockers, Votemarket & pinjaman Stake DAO di Morpho tidak terdampak,” kata Stake DAO dalam pernyataan yang dibagikan melalui platform media sosial X.
Protokol tersebut, namun, mencatat bahwa pasar Arbitrum asdCRV Llamalend akan dinonaktifkan secara permanen menyusul insiden tersebut. Stake DAO telah menyarankan pengguna untuk tidak berinteraksi dengan kontrak vsdCRV dan mendesak para penyetor crvUSD memindahkan modal mereka ke pasar Llamalend lain yang tidak terdampak.
Titik Rawan bagi Keamanan DeFi
Aparat penegak hukum telah diberi tahu, dan Stake DAO mengatakan pihaknya bekerja sama dengan mitra keamanan eksternal untuk melacak arus aset curian serta melakukan audit forensik komprehensif terhadap kontrak pintar yang dikompromikan.
Waktu terjadinya insiden ini muncul saat ekosistem DeFi yang lebih luas berupaya melakukan perlawanan terhadap tesis viral yang dipopulerkan oleh co-founder Openzeppelin Manuel Aráoz, yang baru-baru ini menyatakan bahwa “semua DeFi tidak aman.” Penilaian Aráoz yang suram itu mengejutkan pelaku industri, memaksa terjadinya evaluasi ulang di sektor yang sudah lelah akibat gelombang eksploit protokol dan kerentanan struktural. Eksploit Stake DAO menguatkan tesis Aráoz, sekaligus menyulitkan upaya industri untuk memulihkan kepercayaan institusi dan ritel.
Tesis itu mendorong Openzeppelin untuk mengeluarkan pernyataan yang menjauhkan diri dari Aráoz, yang menurut perusahaan meninggalkan organisasi pada 2019. Openzeppelin juga menanggapi kekhawatiran utama yang diangkat oleh Aráoz, dengan mengakui bahwa meski kecerdasan buatan adalah vektor ancaman yang nyata, kecerdasan buatan juga merupakan alat pertahanan yang kuat bila digunakan “dengan ketelitian dan penilaian manusia ahli.”
“Para peneliti kami menggunakan AI setiap hari untuk menemukan lebih banyak masalah dan edge case,” kata Openzeppelin dalam pernyataannya. “Jawaban atas risiko AI bukanlah mundur dari DeFi. Yang dibutuhkan adalah keamanan yang lebih baik.”
Menyikapi rangkaian insiden keamanan terbaru, Openzeppelin menegaskan bahwa banyak dari insiden ini dapat ditelusuri ke kegagalan keamanan operasional, bukan bug pada kontrak pintar.
