DeFi kembali meledak! Kunci pribadi pengembang StakeDAO bocor, penyerang sedang mencetak 5,4 triliun vSDCRV di Arbitrum secara tidak sah, dan sedang menukar ETH

Blockchain keamanan perusahaan Blockaid mendeteksi bahwa Stake DAO sedang diserang di Arbitrum, penyerang memanfaatkan kunci pribadi deployer yang bocor untuk secara tidak sah mencetak lebih dari 5,4 triliun token vsdCRV (Vote Boosted sdCRV) melalui protokol lintas rantai LayerZero v2 OFT, dan sedang menukarkannya menjadi ETH. Blockaid menunjukkan dugaan penyebab utama adalah kebocoran kunci pribadi, dan serangan masih berlangsung.
（Latar belakang: OpenZeppelin bersama mengumumkan penarikan semua DeFi: AI menyebabkan ketidakseimbangan dalam pertahanan dan serangan, bahkan Aave yang blue-chip pun tidak aman）
（Keterangan tambahan: Kelp DAO menyatakan rsETH sepenuhnya pulih: 5 minggu lalu diretas oleh hacker Korea Utara dengan pencurian sebesar 293 juta dolar）

Ringkasan poin

• Kunci pribadi deployer StakeDAO diretas, penyerang mencetak lebih dari 5,4 triliun vsdCRV dan menukarkannya ke ETH di Arbitrum
• Metode serangan: memanfaatkan kebocoran kunci pribadi untuk mengonfigurasi ulang node setara lintas rantai LayerZero v2 OFT, mengarahkan ke kontrak jahat

Perusahaan keamanan blockchain Blockaid mengeluarkan peringatan langsung, mendeteksi bahwa protokol hasil DeFi Stake DAO di Arbitrum sedang diserang secara berkelanjutan. Penyerang mencetak lebih dari 5,4 triliun token vsdCRV (Vote Boosted sdCRV), dan sedang menukarkannya ke ETH.

Blockaid menilai penyebab utama adalah kebocoran kunci pribadi deployer StakeDAO (0x000755F…1ff62). Setelah memperoleh kunci tersebut, penyerang memanggil fungsi setPeer pada kontrak token vsdCRV untuk mengonfigurasi ulang pengaturan node setara lintas rantai LayerZero v2 OFT (Omnichain Fungible Token), mengalihkan kepercayaan dari kontrak resmi vsdCRVOFTAdapter di mainnet Ethereum ke kontrak jahat yang dideploy penyerang. Setelah pengalihan kepercayaan selesai, penyerang melakukan pencetakan lintas rantai di Arbitrum, menghasilkan sejumlah besar vsdCRV secara tidak sah dan mulai menjualnya.

kembali muncul celah lintas rantai terkait LayerZero

Ini bukan pertama kalinya arsitektur lintas rantai LayerZero menjadi vektor serangan tahun ini. Pada bulan April, Kelp DAO diretas oleh hacker Korea Utara dengan pencurian sebesar 293 juta dolar, penyerang juga memanfaatkan kelemahan mekanisme verifikasi lintas rantai LayerZero. Perbedaannya, Kelp DAO adalah satu-satunya validator dari DVN (Decentralized Validation Network) yang diretas, sedangkan kebocoran kunci pribadi deployer StakeDAO memungkinkan penyerang langsung mengubah pengaturan kontrak.

vsdCRV StakeDAO adalah token tata kelola dalam ekosistem Curve, yang memungkinkan pemegang sdCRV meningkatkan bobot voting melalui delegasi veSDT. Serangan ini masih berlangsung, kerugian akhir tergantung berapa banyak ETH yang dapat diambil penyerang dari pool likuiditas.

Blockaid mendesak semua pengguna untuk menghentikan semua operasi terkait StakeDAO.

Hari ini, Manuel Araoz, salah satu pendiri OpenZeppelin, baru saja mengumumkan secara terbuka bahwa "semua DeFi tidak aman," dan kebocoran kunci pribadi deployer StakeDAO kembali membenarkan penilaiannya.

Pertanyaan umum

Apa metode serangan StakeDAO kali ini?

Setelah mendapatkan kunci pribadi deployer StakeDAO, penyerang menggunakan izin tersebut untuk mengonfigurasi ulang node setara kontrak lintas rantai LayerZero v2 OFT (setPeer), mengalihkan kepercayaan dari kontrak resmi di Ethereum ke kontrak jahat, lalu mencetak lebih dari 5,4 triliun vsdCRV di Arbitrum secara tidak sah dan menukarkannya ke ETH.

Apa itu token vsdCRV?

vsdCRV adalah token "Vote Boosted sdCRV" dari Stake DAO, bagian dari ekosistem tata kelola Curve. Pemegangnya dapat meningkatkan bobot voting melalui delegasi veSDT, yang digunakan untuk voting insentif likuiditas terkait Curve. Penyerang mencetak versi lintas rantai di Arbitrum.