Stake DAO पर Arbitrum पर सुरक्षा घटना हुई, जिसमें हमलावर ने प्रोटोकॉल डिप्लॉयर की निजी कुंजी प्राप्त कर ली और vsdCRV की LayerZero v2 पियर कॉन्फ़िगरेशन को बदल दिया, जिसके बाद झूठी क्रॉस-चेन संदेश भेजकर विशाल पैमाने पर असामान्य मिंटिंग की गई।
Attack path targets private keys and cross-chain configuration
प्रकटीकरण के अनुसार, समस्या vsdCRV के क्रॉस-चेन संचार सेटअप में थी। हमलावर ने LayerZero v2 के पीयर एड्रेस को नियंत्रित लक्ष्य में बदल दिया, और एक दुर्भावनापूर्ण क्रॉस-चेन संदेश बनाया, जिससे कॉन्ट्रैक्ट ने अतिरिक्त प्रतिबंधों के बिना अपनी वॉलेट में लगभग 5.44 ट्रिलियन vsdCRV मिंट कर दिए।
इस प्रकार के हमले को खुले बाजार में खरीदकर नहीं, बल्कि सीधे प्रोटोकॉल के अधिकारों और क्रॉस-चेन संदेश सत्यापन चरणों का दुरुपयोग करके किया जाता है, जिससे मूल रूप से मौजूद नहीं होने वाली बड़ी मात्रा में टोकन की आपूर्ति उत्पन्न होती है।
कुछ टोकन को एथेरियम पर एक्सचेंज कर दिया गया है और स्थानांतरित कर दिया गया है
ब्लॉकएड नामक ब्लॉकचेन सुरक्षा कंपनी के अनुसार, हमलावरों ने कुछ टोकन बेचकर लगभग 43.78 ETH प्राप्त किए हैं और धनराशि को ईथरियम मेननेट पर ब्रिज कर दिया है। इसका अर्थ है कि संबंधित संपत्तियाँ पहले से ही क्रॉस-चेन स्थानांतरण पर शुरू हो चुकी हैं, जिससे आगे की ट्रैकिंग और जमा करने की कठिनाई बढ़ सकती है।
- हमला Arbitrum नेटवर्क पर हुआ
- स्टेक डीएओ के वीएसडीसीआरवी टोकन से संबंधित
- लगभग 43.78 ETH में कुछ राशि स्थानांतरित कर दी गई है
टीम जांच में, उपयोगकर्ताओं को अधिकार रद्द करने की याददाश्त दी गई।
DAO टीम अभी भी घटना की जांच कर रही है, जिसमें संभावित रूप से निजी कुंजी कैसे लीक हुई, कॉन्फ़िगरेशन बदलाव कब हुआ, और क्या अन्य कॉन्ट्रैक्ट या संपत्तियाँ प्रभावित हुईं, शामिल हैं।
जांच के दौरान, उपयोगकर्ताओं को भविष्य के जोखिम को कम करने के लिए संबंधित अधिकारों को जल्द से जल्द रद्द करने की सलाह दी गई है। DeFi प्रोटोकॉल के लिए, एक बार अधिकार या क्रॉस-चेन कॉन्फ़िगरेशन पर नियंत्रण प्राप्त हो जाने पर, प्रभाव अक्सर एकल स्मार्ट कॉन्ट्रैक्ट से तुरंत धन हस्तांतरण और तरलता स्तर तक फैल जाता है।