Kontrakt StakeDAO na Arbitrum zasažen exploitem 5.4T vsdCRV

Bezpečnostní incident postihl infrastrukturu StakeDAO na Arbitrum, přičemž výzkumníci identifikovali abnormální aktivitu spojenou s jeho kontraktem vsdCRV.

Exploit je spojen s podezřením na zranitelnost umožňující nekonečné mintování, která mohla dovolit vytvoření extrémně velké zásoby syntetických staking tokenů, údajně kolem 5.4 trillion jednotek vsdCRV.

Předběžné sledování také naznačuje, že během incidentu bylo odcizeno přibližně $91,000.

Aktivita byla poprvé odhalena díky neobvyklému on-chain chování zahrnujícímu staking deriváty vázané na likviditní pozice založené na Curve.

Nepravidelné pohyby tokenů neodpovídaly očekávaným vzorcům rozdělování odměn, což vedlo k bližšímu přezkoumání architektury kontraktu.

Útok se soustředí na mintování vsdCRV a logiku vaultu

Postižený systém je mechanismus vsdCRV od StakeDAO, likvidní staking derivát vázaný na pozice ve Curve Finance.

V tomto uspořádání uživatelé vkládají CRV nebo aktiva vázaná na CRV a dostávají tokeny vsdCRV představující jejich podíl na stakingu a odměnách.

Dle on-chain analýzy se zdá, že zranitelnost pramení z rámce pro mintování tokenů a účtování používaného kontraktem nasazeným na Arbitrum.

Výzkumníci se domnívají, že chyba mohla vytvořit scénář „infinite mint“, v němž protokol nedokázal správně omezit vydávání tokenů.

Takový typ zranitelnosti může vzniknout, když výpočty nabídky závisí na manipulovatelných proměnných, jako jsou stavy podílových zůstatků nebo indexy odměn.

V tomto případě se předpokládá, že útočník zneužil slabinu k dramatickému nafouknutí zásoby vsdCRV; odhady ukazují na mintovací událost zahrnující přibližně 5.4 trillion tokenů.

Jakmile byl nafouknutý zůstatek vytvořen, mohl být použit k extrahování hodnoty ze systému vaultů nebo k narušení procesu rozdělování odměn protokolu.

Incident se nezdá být spojen s kompromitací privátních klíčů nebo útokem na úrovni peněženky.

Místo toho předběžná analýza ukazuje na selhání v interním účtování smart kontraktu, kde systém mohl nesprávně validovat podmínky mintování za specifických stavů transakcí.

Během exploitu byly odčerpány prostředky, aktivita je nadále monitorována

Vedle události nafouknutí tokenů blockchainová aktivita naznačuje, že přibližně $91,000 aktiv bylo přesunuto z postižených pozic během okna exploitu.

Odtoky naznačují, že útočník byl schopen převést zmanipulovaný zůstatek vsdCRV na přenosnou hodnotu dříve, než byla anomálie zadržena.

Exploit byl identifikován zatímco aktivita stále probíhala a výzkumníci pokračují v monitoringu interakcí kontraktu v reálném čase.

Incident je nadále vyšetřován, zatímco analytici pracují na určení plného rozsahu expozice.

Aktivita se soustředila na Arbitrum, kde nasazení StakeDAO interaguje s likviditní infrastrukturou vztahující se ke Curve.

Kombinace staking derivátů a automatizovaných odměnových systémů zkomplikovala snahy okamžitě izolovat plný dopad, zvláště dokud transakce nadále procházejí DeFi likviditními pooly.

Předběžné poznatky ukazují na selhání účtování

Předběžné poznatky naznačují, že jádrem problému je způsob, jakým kontrakt počítá práva na mintování vsdCRV.

V systémech tohoto typu je mintování typicky vázáno na poměr mezi vloženými aktivy a vydanými podíly.

Pokud lze tento poměr manipulovat prostřednictvím okrajových interakcí nebo špatně nakonfigurovaných aktualizací stavu, může to vytvořit prostor pro nepřiměřené vydávání tokenů.

Jakmile útočník spustil chybu, kontrakt se zdá přijmout neplatný přechod stavu, který umožnil nadměrné vytvoření tokenů.

Nafouknutý zůstatek následně narušil interní účtovací rámec používaný systémem vaultů.

Tento typ exploitu je běžně spojován s DeFi protokoly, které silně spoléhají na modely účtování založené na podílech bez přísného vynucení invariantů.

Když tyto ochrany selžou, systém může nesprávně považovat uměle vytvořené tokeny za legitimní stakingovou sílu.