在怀疑 StakeDAO 部署者密钥遭到泄露后,攻击者在 Arbitrum 上成功铸造了超过 5.4 万亿个 vsdCRV 代币。然而,由于该代币的流动性严重有限,该漏洞仅产生约 91,000 美元,这突显了去中心化金融 (DeFi) 攻击中的一个常见挑战。
区块链安全公司 PeckShield 周三报告称,攻击者将部分铸造的 vsdCRV 换成价值约 91,000 美元的 43.7 以太币 (ETH),然后将资金桥接至以太坊网络。链上分析师 EmberCN 指出,攻击者仅成功兑换了约 1683 万个 vsdCRV,因为剩余的巨额代币缺乏有意义的流动性来兑现。
虽然 5.4 万亿 vsdCRV 的名义账面价值估计高达 7630 亿美元,但这一数字并未反映已实现的利润或已确认的协议损失。该事件凸显了理论上可铸造的代币价值与现有流动性池限制的可提取价值之间的重大差距。
StakeDAO 确认已知晓该事件,并警告用户不要与 vsdCRV 代币进行交互。
部署者密钥泄露被确定为根本原因
根据加密密钥管理公司 Sodot 的首席产品官兼联合创始人 Shalev Keren 的说法,此次攻击与今年发生的其他部署者密钥泄露事件具有“结构相似性”,例如上个月导致约 550 万美元损失的 Wasabi 漏洞。
Keren 解释说,Arbitrum 上的单个、不受保护的 StakeDAO 部署者密钥用于将 vsdCRV 跨链桥配置重定向到以太坊上攻击者控制的合约。大约 25 秒后,该合约向 Arbitrum 发送回 LayerZero 消息,触发向攻击者的地址铸造超过 5 万亿个 vsdCRV 代币。
“这里没有智能合约错误,LayerZero 也没有缺陷,”Keren 表示。 “只有一把私钥,控制一项特权配置功能,没有多重签名,配置更改和链上铸币清算之间没有延迟。”
Keren 强调,DeFi 协议的更广泛问题现在已经超出了合约审计的范围,还包括操作密钥的安全性,如果没有通过多重签名控制和时间延迟等措施适当保护,操作密钥通常会出现单点故障。