Contratto StakeDAO su Arbitrum colpito da exploit da 5.4T di vsdCRV

Un incidente di sicurezza ha interessato l'infrastruttura di StakeDAO su Arbitrum, con i ricercatori che hanno individuato attività anomale legate al suo contratto vsdCRV.

L'exploit è collegato a una presunta vulnerabilità di minting infinito che potrebbe aver permesso la creazione di un'offerta estremamente ampia di token sintetici di staking, riportata essere di circa 5.4 trilioni di unità vsdCRV.

I primi monitoraggi indicano inoltre che circa $91,000 sono stati drenati durante l'incidente.

L'attività è stata rilevata inizialmente tramite comportamenti on-chain insoliti che coinvolgevano derivati di staking connessi a posizioni di liquidità basate su Curve.

I movimenti irregolari dei token non corrispondevano ai modelli previsti di distribuzione delle ricompense, spingendo a un'analisi più approfondita dell'architettura del contratto.

L'exploit si concentra sul minting di vsdCRV e sulla logica del vault

Il sistema interessato è il meccanismo vsdCRV di StakeDAO, un derivato di liquid staking legato a posizioni su Curve Finance.

In questa configurazione, gli utenti depositano CRV o asset collegati a CRV e ricevono token vsdCRV che rappresentano la loro quota di potere di staking e delle ricompense.

Secondo l'analisi on-chain, la vulnerabilità sembra derivare dal framework di minting e contabilità dei token utilizzato dal contratto distribuito su Arbitrum.

I ricercatori ritengono che il difetto possa aver creato uno scenario di “infinite mint” in cui il protocollo non ha limitato correttamente l'emissione di token.

Questo tipo di vulnerabilità può emergere quando i calcoli dell'offerta dipendono da variabili manipolabili come i saldi delle quote o gli indici delle ricompense.

In questo caso, si ritiene che l'attaccante abbia sfruttato la debolezza per gonfiare drasticamente l'offerta di vsdCRV, con stime che indicano un evento di minting coinvolgente circa 5.4 trilioni di token.

Una volta creato il saldo gonfiato, potrebbe essere stato utilizzato per estrarre valore dal sistema di vault o distorcere il processo di distribuzione delle ricompense del protocollo.

L'incidente non sembra essere correlato a una compromissione di chiavi private o a un attacco a livello di wallet.

Invece, l'analisi preliminare indica un fallimento nella contabilità interna dello smart contract, dove il sistema potrebbe aver convalidato in modo errato le condizioni di minting in particolari stati di transazione.

Fondi drenati mentre l'exploit è ancora sotto monitoraggio

Parallelamente all'evento di inflazione dei token, l'attività sulla blockchain indica che circa $91,000 in asset sono stati spostati fuori dalle posizioni interessate durante la finestra dell'exploit.

Le outflow suggeriscono che l'attaccante sia stato in grado di convertire il saldo vsdCRV manipolato in valore trasferibile prima che l'anomalia venisse contenuta.

L'exploit è stato identificato mentre l'attività era ancora in corso, con i ricercatori che continuano a monitorare le interazioni del contratto in tempo reale.

L'incidente è ancora sotto indagine mentre gli analisti lavorano per determinare la portata completa dell'esposizione.

L'attività si è concentrata su Arbitrum, dove la deployment di StakeDAO interagisce con l'infrastruttura di liquidità correlata a Curve.

La combinazione di derivati di staking e sistemi di ricompense automatizzati ha complicato gli sforzi per isolare immediatamente l'impatto completo, soprattutto mentre le transazioni continuano a propagarsi attraverso i pool di liquidità DeFi.

I risultati preliminari indicano un fallimento della contabilità

I risultati preliminari suggeriscono che il problema principale risiede nel modo in cui il contratto calcola i diritti di minting per vsdCRV.

In sistemi come questo, il minting è tipicamente legato a un rapporto tra asset depositati e quote emesse.

Se quel rapporto può essere manipolato attraverso interazioni al limite o aggiornamenti di stato mal configurati, può creare un'apertura per emissioni di token sproporzionate.

Una volta che l'attaccante ha attivato la falla, il contratto sembra aver accettato una transizione di stato non valida che ha permesso la creazione eccessiva di token.

Il saldo gonfiato ha quindi perturbato il framework di contabilità interna utilizzato dal sistema di vault.

Questo tipo di exploit è comunemente associato a protocolli DeFi che dipendono fortemente da modelli di contabilità basati sulle quote senza una rigorosa applicazione degli invarianti.

Quando quelle salvaguardie falliscono, il sistema può trattare in modo errato token creati artificialmente come potere di staking legittimo.