Kontrak StakeDAO di Arbitrum terjejas oleh eksploitasi 5.4T vsdCRV

Satu insiden keselamatan telah menjejaskan infrastruktur StakeDAO di Arbitrum, dengan penyelidik mengenal pasti aktiviti luar biasa yang berkaitan dengan kontrak vsdCRVnya.

Eksploitasi itu dikaitkan dengan kerentanan pencetakan tanpa had yang disyaki yang mungkin membenarkan penciptaan bekalan token staking sintetik yang sangat besar, dilaporkan sekitar 5.4 trilion unit vsdCRV.

Pengesanan awal juga menunjukkan kira-kira $91,000 dana telah dikuras semasa insiden itu.

Aktiviti itu dikesan pertama melalui tingkah laku on-chain yang luar biasa yang melibatkan derivatif staking yang berkaitan dengan posisi kecairan berasaskan Curve.

Pergerakan token yang tidak normal itu tidak sepadan dengan corak pengagihan ganjaran yang dijangkakan, mendorong semakan lebih dekat terhadap seni bina kontrak.

Eksploitasi tertumpu pada pencetakan vsdCRV dan logik vault

Sistem terjejas ialah mekanisme vsdCRV StakeDAO, sebuah derivatif staking cair yang berkaitan dengan posisi Curve Finance.

Dalam susunan ini, pengguna mendeposit CRV atau aset berkaitan CRV dan menerima token vsdCRV yang mewakili bahagian kuasa staking dan ganjaran mereka.

Menurut analisis on-chain, kerentanan itu nampaknya berpunca daripada rangka kerja pencetakan token dan perakaunan yang digunakan oleh kontrak yang dideploy di Arbitrum.

Penyelidik percaya kelemahan itu mungkin telah menghasilkan senario “infinite mint” di mana protokol gagal mengehadkan pengeluaran token dengan betul.

Jenis kerentanan ini boleh timbul apabila pengiraan bekalan bergantung pada pembolehubah yang boleh dimanipulasi seperti baki saham atau indeks ganjaran.

Dalam kes ini, dipercayai penyerang mengeksploitasi kelemahan itu untuk mengembangkan bekalan vsdCRV dengan dramatik, dengan anggaran menunjuk kepada kejadian pencetakan melibatkan kira-kira 5.4 trilion token.

Setelah baki yang dibesarkan itu diwujudkan, ia mungkin digunakan untuk mengekstrak nilai dari sistem vault atau memutarbelitkan proses pengagihan ganjaran protokol.

Insiden itu nampaknya tidak berkaitan dengan kompromi kunci peribadi atau serangan di peringkat dompet.

Sebaliknya, analisis awal menunjukkan kegagalan dalam perakaunan dalaman kontrak pintar, di mana sistem mungkin telah mengesahkan syarat pencetakan secara tidak betul di bawah keadaan transaksi tertentu.

Dana dikuras sementara eksploitasi terus dipantau

Bersama kejadian inflasi token, aktiviti blockchain menunjukkan bahawa kira-kira $91,000 aset dipindahkan keluar dari posisi terjejas semasa jendela eksploitasi.

Aliran keluar itu menunjukkan penyerang berjaya menukar baki vsdCRV yang dimanipulasi menjadi nilai boleh dipindah sebelum anomali itu dikandungi.

Eksploitasi dikenal pasti semasa aktiviti itu masih berterusan, dengan penyelidik terus memantau interaksi kontrak secara masa nyata.

Insiden itu masih dalam siasatan sementara penganalisis berusaha menentukan skop pendedahan sepenuhnya.

Aktiviti itu tertumpu pada Arbitrum, di mana penempatan StakeDAO berinteraksi dengan infrastruktur kecairan berkaitan Curve.

Gabungan derivatif staking dan sistem ganjaran automatik telah mempersulit usaha untuk segera mengasingkan kesan penuh, terutamanya sementara transaksi terus merebak melalui kolam kecairan DeFi.

Penemuan awal menunjukkan kegagalan perakaunan

Penemuan awal mencadangkan isu teras terletak pada cara kontrak mengira hak pencetakan untuk vsdCRV.

Dalam sistem seperti ini, pencetakan biasanya diikat kepada nisbah antara aset yang didepositkan dan saham yang dikeluarkan.

Jika nisbah itu boleh dimanipulasi melalui interaksi dalam keadaan sempadan atau kemas kini keadaan yang salah konfigurasi, ia boleh mewujudkan ruang untuk pengeluaran token yang tidak sepadan.

Setelah penyerang mencetuskan kelemahan itu, kontrak nampaknya telah menerima peralihan keadaan tidak sah yang membolehkan penghasilan token berlebihan.

Baki yang dibesarkan itu kemudian mengganggu rangka kerja perakaunan dalaman yang digunakan oleh sistem vault.

Jenis eksploitasi ini selalunya dikaitkan dengan protokol DeFi yang bergantung kuat pada model perakaunan berasaskan saham tanpa penguatkuasaan invarian yang ketat.

Apabila langkah keselamatan itu gagal, sistem boleh secara tidak betul menganggap token yang dicipta secara artifisial sebagai kuasa staking yang sah.