Stake DAO bị tấn công: Kẻ gian mint 5,4 nghìn tỷ vsdCRV trên Arbitrum

Một kẻ tấn công đã khai thác Stake DAO trên Arbitrum, mint 5,4 nghìn tỷ token vsdCRV sau khi xâm phạm private key deployer của giao thức.

"Theo BlockSec, nguyên nhân bị nghi ngờ là private key deployer của Stake DAO bị xâm phạm, cho phép kẻ tấn công thiết lập một peer tùy ý cho vsdCRV và giả mạo một thông điệp độc hại kích hoạt mint không điều kiện," BlockSec cho biết trên X.

Kẻ tấn công đã mint chính xác 5.446.744.073.709,551615 vsdCRV thông qua một cuộc gọi LayerZero v2 Executor vào ngày 27 tháng 5 lúc 09:17:58 UTC, theo dữ liệu từ Arbiscan. PeckShield báo cáo rằng 43,78 ETH, trị giá khoảng 91.000 USD, đã được swap và chuyển sang Ethereum. vsdCRV là một wrapper tăng cường quyền biểu quyết cho sdCRV, token khóa thanh khoản của Stake DAO được sử dụng trong hệ sinh thái quản trị Curve Finance.

Vụ khai thác này làm gia tăng thêm chuỗi sự kiện tồi tệ đối với bảo mật DeFi — hơn 600 triệu USD đã bị mất trong hàng chục vụ hack kể từ tháng 4, dẫn đầu là vụ khai thác Kelp DAO trị giá 293 triệu USD có liên quan đến nhóm Lazarus của Triều Tiên. Stake DAO chưa công bố báo cáo hậu kiểm đã được xác minh hoặc ước tính tổn thất cuối cùng, và vụ khai thác dường như vẫn đang tiếp diễn.

Sự khác biệt giữa việc xâm phạm khóa và lỗi hợp đồng thông minh rất quan trọng đối với triển vọng thu hồi. Các lỗ hổng hợp đồng thông minh có thể được vá. Một private key bị xâm phạm đồng nghĩa với việc kẻ tấn công đã giành được quyền kiểm soát quyền mint quan trọng — trong trường hợp này là ví deployer cho vsdCRV trên Arbitrum — mà không có các biện pháp bảo vệ đầy đủ như multisig hoặc khóa thời gian (timelock).

Vụ việc cũng đặt ra những câu hỏi mới về bảo mật xuyên chuỗi. Stake DAO sử dụng LayerZero để di chuyển token qua các mạng. Mặc dù bản thân LayerZero không bị xâm phạm, nhưng khả năng mint nguồn cung không có tài sản đảm bảo trên một chuỗi đích cho thấy rủi ro vốn có trong các kiến trúc token dựa trên cầu nối. Vụ khai thác Kelp DAO vào tháng 4 cũng khai thác một gói tin LayerZero bị giả mạo để mở khóa rsETH xuyên chuỗi.

Các pool thanh khoản chứa sdCRV hoặc vsdCRV phải đối mặt với nguy cơ mất cân bằng khi kẻ tấn công tiếp tục xả nguồn cung bị thổi phồng. Những người nắm giữ sdCRV cần đánh giá xem tài sản đảm bảo CRV cơ bản có còn nguyên vẹn hay không. Các đối thủ trong Cuộc chiến Curve, đặc biệt là Convex Finance, có thể hưởng lợi từ dòng chảy tìm nơi an toàn nếu niềm tin của người dùng vào Stake DAO bị suy giảm.

Bài viết này chỉ mang tính chất tham khảo và không cấu thành lời khuyên đầu tư.