Contrato de StakeDAO en Arbitrum afectado por exploit de 5.4T vsdCRV

Un incidente de seguridad ha afectado la infraestructura de StakeDAO en Arbitrum, y los investigadores han identificado actividad anómala vinculada a su contrato vsdCRV.

El exploit está vinculado a una presunta vulnerabilidad de acuñación infinita que podría haber permitido la creación de una oferta extremadamente grande de tokens sintéticos de staking, supuestamente alrededor de 5.4 trillion unidades vsdCRV.

Los primeros seguimientos también sugieren que durante el incidente se drenaron aproximadamente $91,000 en fondos.

La actividad se detectó por primera vez a través de un comportamiento inusual on-chain implicando derivados de staking conectados a posiciones de liquidez basadas en Curve.

Los movimientos irregulares de tokens no coincidían con los patrones esperados de distribución de recompensas, lo que motivó una revisión más detallada de la arquitectura del contrato.

El exploit se centra en la acuñación de vsdCRV y la lógica de la vault

El sistema afectado es el mecanismo vsdCRV de StakeDAO, un derivado de staking líquido vinculado a posiciones de Curve Finance.

En esta configuración, los usuarios depositan CRV o activos vinculados a CRV y reciben tokens vsdCRV que representan su parte del poder de staking y las recompensas.

Según el análisis on-chain, la vulnerabilidad parece originarse en el marco de acuñación y contabilización de tokens usado por el contrato desplegado en Arbitrum.

Los investigadores creen que la falla pudo haber creado un escenario de “acuñación infinita” en el que el protocolo no restringió correctamente la emisión de tokens.

Este tipo de vulnerabilidad puede surgir cuando los cálculos de suministro dependen de variables manipulables, como saldos de participaciones o índices de recompensa.

En este caso, se cree que el atacante explotó la debilidad para inflar drásticamente la oferta de vsdCRV, con estimaciones que apuntan a un evento de acuñación de aproximadamente 5.4 trillion tokens.

Una vez creado el balance inflado, pudo haberse utilizado para extraer valor del sistema de vaults o distorsionar el proceso de distribución de recompensas del protocolo.

El incidente no parece estar relacionado con un compromiso de clave privada ni con un ataque a nivel de wallet.

En cambio, el análisis preliminar apunta a una falla en la contabilidad interna del contrato inteligente, donde el sistema pudo haber validado incorrectamente las condiciones de acuñación bajo estados transaccionales específicos.

Fondos drenados mientras el exploit permanece bajo vigilancia

Junto al evento de inflación de tokens, la actividad en blockchain indica que aproximadamente $91,000 en activos fueron movidos fuera de las posiciones afectadas durante la ventana del exploit.

Las salidas sugieren que el atacante pudo convertir el balance manipulado de vsdCRV en valor transferible antes de que se contuviera la anomalía.

El exploit fue identificado mientras la actividad aún estaba en curso, y los investigadores continúan monitorizando las interacciones del contrato en tiempo real.

El incidente sigue bajo investigación mientras los analistas trabajan para determinar el alcance total de la exposición.

La actividad se ha concentrado en Arbitrum, donde el despliegue de StakeDAO interactúa con la infraestructura de liquidez relacionada con Curve.

La combinación de derivados de staking y sistemas automáticos de recompensas ha complicado los esfuerzos para aislar de inmediato el impacto completo, sobre todo mientras las transacciones continúan propagándose a través de las pools de liquidez DeFi.

Hallazgos preliminares apuntan a una falla contable

Los hallazgos preliminares sugieren que el problema central reside en cómo el contrato calcula los derechos de acuñación para vsdCRV.

En sistemas como este, la acuñación suele estar vinculada a una proporción entre los activos depositados y las participaciones emitidas.

Si esa proporción puede manipularse mediante interacciones en casos límites o actualizaciones de estado mal configuradas, puede abrirse una puerta para la emisión desproporcionada de tokens.

Una vez que el atacante desencadenó la falla, el contrato parece haber aceptado una transición de estado inválida que permitió la creación excesiva de tokens.

El balance inflado perturbó entonces el marco contable interno utilizado por el sistema de vaults.

Este tipo de exploit se asocia comúnmente con protocolos DeFi que dependen en gran medida de modelos contables basados en participaciones sin una aplicación estricta de invariantes.

Cuando esas salvaguardas fallan, el sistema puede tratar incorrectamente tokens creados artificialmente como poder de staking legítimo.