DeFi voltou a explodir! Chave privada do implantador do StakeDAO vazou, o atacante está forjando 5,4 trilhões de vsdCRV no Arbitrum do nada e trocando por ETH

Empresa de segurança blockchain Blockaid detectou que o Stake DAO está a ser alvo de um ataque na Arbitrum, onde o atacante utilizou a chave privada do deployer comprometida para criar do nada mais de 5,4 biliões de tokens vsdCRV (Vote Boosted sdCRV) através do protocolo de ponte LayerZero v2 OFT, e está a trocá-los por ETH.
A Blockaid indica que a causa provável foi a fuga da chave privada, e o ataque ainda está em curso.
(Antecedentes: OpenZeppelin apela à retirada de todos os DeFi: IA desbalanceia a defesa, até os blue chips como Aave não estão seguros)
(Complemento: Kelp DAO anuncia recuperação total do rsETH: roubado há 5 semanas por hackers da Coreia do Norte $293 milhões)

Resumo dos pontos principais

• Chave privada do deployer do StakeDAO foi comprometida, atacante criou mais de 5,4 biliões de vsdCRV na Arbitrum e trocou por ETH
• Método do ataque: uso da fuga da chave privada para reconfigurar o nó de pares do LayerZero v2 OFT na ponte, direcionando a confiança para um contrato malicioso

A empresa de segurança blockchain Blockaid emitiu um alerta imediato, detectando que o protocolo de rendimento DeFi Stake DAO na Arbitrum está a sofrer um ataque contínuo. O atacante criou mais de 5,4 biliões de tokens vsdCRV (Vote Boosted sdCRV) e está a trocá-los por ETH.

A Blockaid conclui que a causa raiz foi a fuga da chave privada do deployer do StakeDAO (0x000755F…1ff62). Após obter essa chave, o atacante chamou a função setPeer no contrato do token vsdCRV, reconfigurando o nó de pares de ponte do LayerZero v2 OFT (Token Fungível Omnichaín) para apontar para um contrato malicioso, em vez do contrato legítimo vsdCRVOFTAdapter na rede principal Ethereum. Com a confiança redirecionada, o atacante realizou a criação de tokens do nada na Arbitrum e começou a vendê-los.

mais uma vulnerabilidade de ponte relacionada ao LayerZero

Este não é o primeiro ataque que explora a arquitetura de ponte LayerZero este ano. Em abril, o Kelp DAO foi roubado por hackers da Coreia do Norte, que furtaram $293 milhões, também explorando uma fraqueza no mecanismo de validação cross-chain do LayerZero. A diferença é que, no caso do Kelp DAO, um validador único da rede descentralizada de validação (DVN) foi comprometido, enquanto no do StakeDAO a chave privada do deployer foi exposta, permitindo ao atacante modificar diretamente as configurações do contrato.

O vsdCRV do StakeDAO é um token de governança do ecossistema Curve, que permite aos detentores de sdCRV aumentar o peso de voto através do delegar veSDT. O ataque ainda está em andamento, e a perda final dependerá de quanto ETH o atacante conseguir retirar dos pools de liquidez.

A Blockaid apela a todos os utilizadores para que suspendam todas as operações relacionadas com StakeDAO.

Hoje, Manuel Araoz, cofundador da OpenZeppelin, afirmou publicamente que “todos os DeFi não são seguros”, e a fuga da chave privada do deployer do StakeDAO confirma novamente essa visão.

Perguntas frequentes

Qual foi a técnica do ataque ao StakeDAO desta vez?

Após obter a chave privada do deployer do StakeDAO, o atacante usou essa permissão para reconfigurar o nó de pares do contrato de ponte LayerZero v2 OFT (setPeer), redirecionando a confiança do contrato legítimo na Ethereum para um contrato malicioso. Depois, criou do nada mais de 5,4 biliões de vsdCRV na Arbitrum e trocou por ETH.

O que é o vsdCRV?

O vsdCRV é o token de governança do Stake DAO, denominado “Vote Boosted sdCRV”, pertencente ao ecossistema Curve. Os detentores podem delegar veSDT para aumentar o peso de voto, utilizado em votações de incentivos de liquidez relacionadas com Curve. O que o atacante criou é a versão cross-chain na rede Arbitrum.