安全研究人员警告称,针对 Stake DAO 的攻击正在进行中,Stake DAO 是一个专门从事自动收益策略的去中心化金融 (DeFi) 平台。该事件由多家区块链安全公司举报,涉及在 Arbitrum 网络上未经授权铸造超过 5.4 万亿个 vsdCRV 代币。
根据区块链安全公司 Blockaid 的说法,攻击者正在积极地将大量新铸造的 vsdCRV 换成以太坊(ETH)。同行公司 PeckShield 报告称,部分资金已转换为 43.78 ETH(约 91,000 美元)并桥接至以太坊主网。
vsdCRV,或投票提升的 sdCRV,是一种与 Curve Finance 生态系统相关的衍生代币,并在 Stake DAO 的收益生成策略中使用。
针对此次攻击,Stake DAO 表示已了解情况,并紧急警告用户不要与 vsdCRV 代币进行交互。
研究人员指出,受损的私钥可能是攻击的入口点。 BlockSec 解释说:“攻击者似乎已经获得了部署者的私钥,并为 vsdCRV 设置了任意对等点。” “他们利用该对等点伪造了一条恶意消息,触发了无条件地将约 5.44T vsdCRV 铸造到他们的地址。”
这一漏洞延长了 DeFi 安全最具破坏性的时期之一,自 4 月份以来,许多协议已损失超过 6 亿美元。这一趋势部分归因于日益复杂的攻击,可能利用人工智能的进步。该系列中最大的单一事件是 Kelp DAO 的价值 2.92 亿美元的漏洞。
此次泄露加剧了有关 DeFi 系统漏洞的讨论。就在该事件发生的前一天,加密安全公司 OpenZeppelin 的 Manuel Aráoz 表达了鲜明的观点,称由于攻击者和防御者之间存在显着的不对称,他认为“所有 DeFi”都是不安全的。
随着调查人员继续评估损害的全部范围,情况仍然不稳定。