StakeDAO-Vertrag auf Arbitrum durch vsdCRV-Exploit über 5,4 Billionen betroffen

Ein Sicherheitsvorfall hat StakeDAOs Infrastruktur auf Arbitrum betroffen; Forscher identifizierten ungewöhnliche Aktivitäten im Zusammenhang mit dem vsdCRV-Vertrag.

Der Exploit wird mit einer mutmaßlichen Schwachstelle beim unbegrenzten Minting in Verbindung gebracht, die möglicherweise die Schaffung einer extrem großen Menge synthetischer Staking-Token ermöglichte, Berichten zufolge rund 5,4 Billionen vsdCRV-Einheiten.

Frühe Nachverfolgungen deuten auch darauf hin, dass während des Vorfalls ungefähr $91,000 an Mitteln abgezogen wurden.

Die Aktivität wurde erstmals durch ungewöhnliches On-Chain-Verhalten entdeckt, das Staking-Derivate im Zusammenhang mit Curve-basierten Liquiditätspositionen betraf.

Die unregelmäßigen Token-Bewegungen entsprachen nicht den erwarteten Mustern der Belohnungsverteilung, was eine genauere Überprüfung der Vertragsarchitektur veranlasste.

Exploit konzentriert sich auf vsdCRV-Minting und Vault-Logik

Betroffen ist StakeDAOs vsdCRV-Mechanismus, ein Liquid-Staking-Derivat, das an Positionen auf Curve Finance gebunden ist.

Dabei hinterlegen Nutzer CRV oder CRV-gebundene Assets und erhalten vsdCRV-Token, die ihren Anteil am Staking und an den Belohnungen repräsentieren.

Laut On-Chain-Analysen scheint die Schwachstelle aus dem Token-Minting- und Buchführungsrahmenwerk des auf Arbitrum eingesetzten Vertrags zu stammen.

Forscher vermuten, dass die Schwachstelle ein "infinite mint"-Szenario erzeugt haben könnte, in dem das Protokoll die Token-Ausgabe nicht ordnungsgemäß beschränkte.

Eine solche Schwachstelle kann entstehen, wenn Versorgungsberechnungen von manipulierbaren Variablen abhängen, etwa Anteilssalden oder Reward-Indizes.

In diesem Fall soll der Angreifer die Schwäche ausgenutzt haben, um die vsdCRV-Versorgung dramatisch aufzublähen; Schätzungen deuten auf eine Prägungsaktion mit ungefähr 5,4 Billionen Token hin.

Sobald das aufgeblähte Guthaben erstellt war, wurde es möglicherweise genutzt, um Wert aus dem Vault-System zu extrahieren oder den Belohnungsverteilungsprozess des Protokolls zu verzerren.

Der Vorfall scheint nicht mit einer Kompromittierung privater Schlüssel oder einem Wallet-Level-Angriff zusammenzuhängen.

Stattdessen deuten vorläufige Analysen auf ein Versagen der internen Buchführung des Smart Contracts hin, bei dem das System unter bestimmten Transaktionszuständen Minting-Bedingungen fälschlicherweise validiert haben könnte.

Mittel abgezogen, während der Exploit weiterhin überwacht wird

Neben dem Token-Inflationsereignis zeigen Blockchain-Aktivitäten, dass während des Exploit-Zeitraums etwa $91,000 an Vermögenswerten aus betroffenen Positionen bewegt wurden.

Die Abflüsse deuten darauf hin, dass der Angreifer in der Lage war, das manipulierte vsdCRV-Guthaben in übertragbaren Wert umzuwandeln, bevor die Anomalie eingedämmt wurde.

Der Exploit wurde identifiziert, während die Aktivität noch andauerte; Forscher überwachen die Vertragsinteraktionen weiterhin in Echtzeit.

Der Vorfall wird weiterhin untersucht, während Analysten den vollen Umfang der Exponierung zu bestimmen versuchen.

Die Aktivitäten konzentrierten sich auf Arbitrum, wo StakeDAOs Deployment mit Curve-bezogener Liquiditätsinfrastruktur interagiert.

Die Kombination aus Staking-Derivaten und automatisierten Belohnungssystemen erschwert es, die volle Auswirkung sofort zu isolieren, insbesondere solange Transaktionen weiterhin durch DeFi-Liquiditätspools propagiert werden.

Vorläufige Ergebnisse deuten auf Buchführungsfehler hin

Vorläufige Ergebnisse deuten darauf hin, dass das Kernproblem in der Berechnung der Minting-Rechte für vsdCRV durch den Vertrag liegt.

In Systemen wie diesem ist Minting typischerweise an ein Verhältnis zwischen hinterlegten Assets und ausgegebenen Shares gebunden.

Wenn dieses Verhältnis durch Edge-Case-Interaktionen oder fehlkonfigurierte Status-Updates manipuliert werden kann, kann dies eine Möglichkeit für unverhältnismäßige Token-Ausgaben schaffen.

Als der Angreifer den Fehler auslöste, scheint der Vertrag eine ungültige Zustandsänderung akzeptiert zu haben, die übermäßige Token-Erstellung ermöglichte.

Das aufgeblähte Guthaben störte daraufhin das interne Buchführungsrahmenwerk des Vault-Systems.

Diese Art von Exploit ist häufig mit DeFi-Protokollen verbunden, die stark auf share-basierte Buchführungsmodelle setzen, ohne strikte Durchsetzung von Invarianten.

Wenn diese Schutzmechanismen versagen, kann das System künstlich erzeugte Token fälschlicherweise als legitime Staking-Kraft behandeln.