Stake DAO congela mercados vdsCRV no Arbitrum após o atacante cunhar 5,4 biliões de tokens sintéticos

Em 27 de maio, a plataforma de finanças descentralizadas Stake DAO sofreu um exploit de emissão infinita no seu protocolo da Arbitrum. No entanto, os principais contribuidores do Stake DAO asseguraram rapidamente os fundos do mainnet que suportavam os tokens, encerraram a ponte vsdCRV e conseguiram conter o exploit.

• Principais conclusões:
• • A Stake DAO sofreu um exploit de emissão infinita na Arbitrum em 27 de maio que, segundo foi reportado, levou o atacante a drenar 91 mil dólares em ativos digitais.
• • A brecha alimenta um debate viral sobre a segurança em DeFi despoletado pelo cofundador da Openzeppelin, Manuel Aráoz.
• • A Stake DAO está a encerrar definitivamente o mercado asdCRV Llamalend na Arbitrum e a trabalhar com as autoridades policiais.

Brecha de “Emissão Infinita” Desencadeia Exploit

Finanças descentralizadas (DeFi), a plataforma Stake DAO confirmou a 27 de maio que o seu protocolo na rede de camada 2 Arbitrum foi alvo de um exploit, permitindo que uma parte não autorizada cunhasse maliciosamente biliões de tokens sintéticos. De acordo com resultados preliminares da empresa de segurança blockchain Blockaid, o atacante aproveitou uma vulnerabilidade de emissão infinita associada à lógica da vault vsdCRV da Stake DAO e ao sistema automatizado de distribuição de recompensas.

O contrato aceitou uma transição de estado inválida, conduzindo a uma falha grave de contabilidade interna. Esta brecha permitiu ao atacante inflacionar a oferta de vsdCRV em 5,4 biliões de unidades. Alguns relatos sugerem que o atacante conseguiu drenar aproximadamente 91 mil dólares em ativos digitais transferíveis das pools de liquidez afetadas antes de o problema ser identificado e interrompido.

Os principais contribuidores do Stake DAO atuaram rapidamente para mitigar danos adicionais, anunciando que conseguiram proteger o suporte de vsdCRV no mainnet da Ethereum. Devido à contenção rápida, os responsáveis pelo protocolo confirmaram que nenhum fundo do mainnet pode ser apreendido pelo atacante. Além disso, a equipa desativou a ponte vsdCRV, confinando com sucesso o impacto económico do exploit ao ecossistema da Arbitrum.

“Com base na nossa avaliação atual, Boosted yields, Liquid Lockers, Votemarket e o empréstimo do Stake DAO na Morpho estão inalterados”, disse o Stake DAO numa declaração partilhada via a plataforma de redes sociais X.

O protocolo referiu, no entanto, que o mercado asdCRV Llamalend da Arbitrum está a ser encerrado permanentemente na sequência do incidente. A Stake DAO aconselhou os utilizadores a não interagirem com contratos de vsdCRV e está a incentivar os depositantes de crvUSD a realocarem o seu capital para mercados Llamalend alternativos que não foram afetados.

Um Momento Delicado para a Segurança em DeFi

As agências de aplicação da lei foram notificadas, e a Stake DAO afirmou que está a colaborar com parceiros externos de segurança para rastrear o fluxo de ativos roubados e realizar uma auditoria forense abrangente dos contratos inteligentes comprometidos.

O timing do incidente surge enquanto o ecossistema mais amplo de DeFi tenta contrariar uma tese viral popularizada pelo cofundador da Openzeppelin, Manuel Aráoz, que recentemente afirmou que “todo o DeFi é inseguro”. A avaliação sombria de Aráoz surpreendeu os participantes da indústria, forçando um acerto de contas num sector já desgastado por uma vaga de exploits de protocolos e vulnerabilidades estruturais. O exploit do Stake DAO reforça a tese de Aráoz, complicando os esforços da indústria para restaurar a confiança institucional e de retalho.

A tese levou a Openzeppelin a emitir uma declaração afastando-se de Aráoz, que a empresa disse ter deixado a organização em 2019. A Openzeppelin também abordou as preocupações centrais levantadas por Aráoz, reconhecendo que, embora a inteligência artificial seja um vetor de ameaça real, é também uma ferramenta defensiva poderosa quando utilizada “com rigor e julgamento humano especializado”.

“Nossos investigadores usam IA diariamente para detetar mais problemas e casos extremos”, disse a Openzeppelin numa declaração. “A resposta ao risco da IA não é recuar do DeFi. É melhor segurança.”

Voltando ao recente surto de incidentes de segurança, a Openzeppelin insistiu que muitos deles podem ser atribuídos a falhas de segurança operacional, e não a bugs de contratos inteligentes.