StakeDAO-kontrakt på Arbitrum ramt af 5.4T vsdCRV-exploit

En sikkerhedshændelse har påvirket StakeDAO's infrastruktur på Arbitrum, hvor forskere har identificeret unormal aktivitet knyttet til dens vsdCRV-kontrakt.

Exploiten er forbundet med en formodet sårbarhed i uendelig minting, som kan have tilladt oprettelsen af en ekstremt stor mængde syntetiske staking-tokens, angiveligt omkring 5.4 trillion vsdCRV-enheder.

Tidlige sporinger tyder også på, at cirka $91,000 blev tømt under hændelsen.

Aktiviteten blev først opdaget gennem usædvanlig on-chain-adfærd, der involverede staking-derivater knyttet til Curve-baserede likviditetspositioner.

De uregelmæssige token-bevægelser stemte ikke overens med forventede belønningsfordelingsmønstre, hvilket førte til en nærmere gennemgang af kontraktarkitekturen.

Eksploit fokuserer på vsdCRV-minting og vault-logik

Det berørte system er StakeDAO's vsdCRV-mekanisme, et liquid staking-derivat knyttet til Curve Finance-positioner.

I denne opsætning deponerer brugere CRV eller CRV-tilknyttede aktiver og modtager vsdCRV-tokens, der repræsenterer deres andel af staking-kraft og belønninger.

Ifølge on-chain-analyse synes sårbarheden at stamme fra token-minting og regnskabsrammen, der bruges af kontrakten udrullet på Arbitrum.

Forskere mener, at fejlen kan have skabt et "infinite mint"-scenarie, hvor protokollen svigtede i at begrænse tokenudstedelsen korrekt.

Denne type sårbarhed kan opstå, når forsyningsberegninger afhænger af manipulerbare variable som andelsbalancer eller belønningsindekser.

I dette tilfælde menes angriberen at have udnyttet svagheden til dramatisk at oppuste vsdCRV-udbuddet, med estimater der peger på en minting-hændelse involverende cirka 5.4 trillion tokens.

Da den oppustede balance var skabt, kan den være blevet brugt til at udtrække værdi fra vault-systemet eller forvride protokollens belønningsfordelingsproces.

Hændelsen synes ikke at være relateret til kompromittering af private nøgler eller wallet-niveau-angreb.

I stedet peger foreløbig analyse på en fejl i smartkontraktens interne regnskab, hvor systemet muligvis forkert validerede minting-betingelser under specifikke transaktionsstater.

Midler tømt, mens eksploiten er under overvågning

Sideløbende med token-inflationshændelsen indikerer blockchain-aktivitet, at cirka $91,000 i aktiver blev flyttet ud af berørte positioner i exploit-vinduet.

Udstrømmene antyder, at angriberen var i stand til at konvertere den manipulerede vsdCRV-balance til overførbar værdi, før anomalien blev inddæmmet.

Exploiten blev identificeret, mens aktiviteten stadig var i gang, og forskere fortsætter med at overvåge kontraktinteraktioner i realtid.

Hændelsen er stadig under efterforskning, mens analytikere arbejder på at bestemme det fulde omfang af eksponeringen.

Aktiviteten har været koncentreret på Arbitrum, hvor StakeDAO's udrulning interagerer med Curve-relateret likviditetsinfrastruktur.

Kombinationen af staking-derivater og automatiserede belønningssystemer har kompliceret bestræbelserne på øjeblikkeligt at isolere den fulde påvirkning, især mens transaktioner fortsat spreder sig gennem DeFi-likviditetspools.

Foreløbige fund peger på en regnskabsfejl

Foreløbige fund antyder, at kerneproblemet ligger i, hvordan kontrakten beregner minting-rettigheder for vsdCRV.

I systemer som dette er minting typisk knyttet til et forhold mellem deponerede aktiver og udstedte andele.

Hvis dette forhold kan manipuleres gennem kanttilfælde-interaktioner eller fejlkonfigurerede tilstandsopdateringer, kan det skabe en åbning for uforholdsmæssig tokenudstedelse.

Når angriberen udløste fejlen, synes kontrakten at have accepteret en ugyldig tilstandsovergang, der muliggjorde overdreven tokenoprettelse.

Den oppustede balance forstyrrede derefter den interne regnskabsramme, der bruges af vault-systemet.

Denne type exploit er ofte forbundet med DeFi-protokoller, der i høj grad er afhængige af andelsbaserede regnskabsmodeller uden streng håndhævelse af invariants.

Når disse sikkerhedsforanstaltninger svigter, kan systemet forkert behandle kunstigt oprettede tokens som legitim staking-kraft.