Önemli Çıkarımlar:
Bir saldırgan, protokolün dağıtıcı özel anahtarını ele geçirerek Arbitrum'da 5.4 trilyon vsdCRV token basmak suretiyle Stake DAO'yu istismar etti.
BlockSec, X üzerinde yaptığı açıklamada, "Şüphelenilen temel neden, saldırganın vsdCRV için keyfi bir eş belirlemesine ve koşulsuz basımı tetikleyen kötü niyetli bir mesaj oluşturmasına olanak tanıyan, ele geçirilmiş bir Stake DAO dağıtıcı özel anahtarıdır" dedi.
Arbiscan verilerine göre saldırgan, 27 Mayıs saat 09:17:58 UTC'de bir LayerZero v2 Executor çağrısı aracılığıyla tam olarak 5.446.744.073.709,551615 vsdCRV bastı. PeckShield, şu ana kadar 43.78 ETH'nin (yaklaşık 91.000 $ değerinde) takas edildiğini ve Ethereum'a köprülenmiş olduğunu bildirdi. vsdCRV, Stake DAO'nun Curve Finance yönetişim ekosisteminde kullanılan likit kilit token'ı sdCRV etrafındaki oy güçlendirmeli bir sarmalayıcıdır.
Bu istismar, DeFi güvenliği için acımasız bir döneme ekleniyor — Nisan ayından bu yana düzinelerce hack saldırısında 600 milyon $'dan fazla kayıp yaşandı; buna Kuzey Kore'nin Lazarus Grubu ile bağlantılı 293 milyon $'lık Kelp DAO istismarı da dahil. Stake DAO tarafından doğrulanmış bir olay sonrası raporu veya nihai kayıp tahmini açıklanmadı ve istismarın devam ettiği görülüyor.
Anahtar ele geçirilmesi ile akıllı sözleşme hatası arasındaki ayrım, kurtarma beklentileri açısından önemlidir. Akıllı sözleşme güvenlik açıkları yamalanabilir. Ele geçirilmiş bir özel anahtar, saldırganın — bu durumda Arbitrum'da vsdCRV için dağıtıcı cüzdanı — çoklu imza veya zaman kilidi korumaları gibi yeterli güvenlik önlemleri olmaksızın kritik basım yetkisi üzerinde kontrol sahibi olduğu anlamına gelir.
Olay ayrıca çapraz zincir güvenliği hakkında yeni soruları gündeme getiriyor. Stake DAO, token'ların ağlar arasında taşınması için LayerZero kullanıyor. LayerZero'nun kendisi ele geçirilmemiş olsa da, hedef zincirde karşılıksız arz basma yeteneği, köprü tabanlı token mimarilerinin doğasında bulunan riskleri vurguluyor. Nisan ayındaki Kelp DAO istismarı da zincirler arasında rsETH'yi açığa çıkarmak için sahte bir LayerZero paketinden yararlanmıştı.
Saldırgan şişirilmiş arzı boşaltmaya devam ettikçe sdCRV veya vsdCRV içeren likidite havuzları potansiyel dengesizliklerle karşı karşıya. sdCRV sahipleri, altında yatan CRV desteğinin bozulup bozulmadığını değerlendirmelidir. Özellikle Convex Finance olmak üzere Curve Wars'taki rakipler, kullanıcı güveninin Stake DAO'dan uzaklaşması halinde güvenli liman arayışından faydalanabilir.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.
