Stake DAO enfrenta exploração contínua após 5,4 trilhões de vдCRV cunhados

Stake DAO, uma plataforma DeFi focada em estratégias automatizadas de rendimento, está passando por um exploit em andamento após um atacante ter cunhado mais de 5,4 trilhões de tokens vsdCRV no Arbitrum e ter trocado ativamente esses tokens por ETH, disseram na quarta-feira várias empresas de segurança de blockchain. A causa raiz suspeita é uma chave privada do deployer do Stake DAO comprometida, que teria permitido ao atacante manipular a configuração da ponte cross-chain de vsdCRV. O incidente se soma a um aumento de exploits em DeFi desde abril, com mais de US$ 600 milhões roubados em dezenas de protocolos, incluindo o exploit de US$ 292 milhões do Kelp DAO, enquanto avanços em inteligência artificial parecem estar impulsionando uma sofisticação maior nos ataques.

Detalhes Técnicos do Exploit

O atacante cunhou mais de 5,4 trilhões de vsdCRV no Arbitrum e está fazendo a troca ativa por ETH, segundo a Blockaid. A PeckShield informou que 43,78 ETH (US$ 91 mil) em valor de tokens foram trocados e enviados via ponte para Ethereum. vsdCRV, ou sdCRV com reforço de votos, é um token derivativo relacionado a rendimento ligado ao ecossistema da Curve Finance e usado no Stake DAO.

A BlockSec explicou que o atacante parece ter obtido a chave privada do deployer e definido um peer arbitrário para vsdCRV. “Usando esse peer, eles forjaram uma mensagem maliciosa que disparou a cunhagem incondicional de ~5,44T de vsdCRV para o endereço deles”, afirmou a BlockSec.

O cofundador e CPO do Sodot, Shalev Keren, disse ao The Block que “a chave do deployer do Stake DAO no Arbitrum foi usada para redirecionar a configuração da ponte cross-chain de vsdCRV para um contrato controlado pelo atacante no Ethereum, e cerca de vinte e cinco segundos depois, aquele contrato enviou de volta uma mensagem LayerZero, fazendo o token legítimo do Arbitrum cunhar mais de cinco trilhões de vsdCRV para o atacante, que agora está despejando isso por ETH”. Keren esclareceu que “não há nenhum bug em smart contract aqui, e não há falha no LayerZero; existe uma única chave privada, controlando uma única função privilegiada de configuração, sem multisig e sem atraso entre a mudança de configuração passar e a cunhagem ser confirmada onchain.”

Resposta Oficial

O Stake DAO disse que estava ciente da situação e pediu aos usuários que não interagissem com vsdCRV.

Análise de Segurança

Shalev Keren disse ao The Block que o exploit do Stake DAO é estruturalmente similar ao incidente Wasabi do mês passado e a várias outras falhas de chaves de deployer comprometidas neste ano. Keren acrescentou que o incidente destaca preocupações mais amplas com segurança operacional e com a concentração de permissões privilegiadas de deployer associadas a protocolos DeFi auditados.

Na terça-feira, o executivo Manuel Aráoz, da empresa de segurança cripto OpenZeppelin, disse que ele considera “todo o DeFi” inseguro, citando a assimetria entre atacantes e defensores.

Contexto Mais Amplo

O exploit continua sendo um dos piores períodos para exploits em DeFi, aparentemente impulsionado por avanços em inteligência artificial, com dezenas de protocolos hackeados por mais de US$ 600 milhões desde abril, liderados pelo exploit de US$ 292 milhões do Kelp DAO.

Esta é uma história em desenvolvimento.