Stake DAO mengalami insiden keamanan di Arbitrum, di mana penyerang diklaim mendapatkan kunci pribadi dari pendiri protokol, mengubah konfigurasi mitra LayerZero v2 untuk vsdCRV, lalu memalsukan pesan lintas rantai yang memicu pencetakan besar-besaran yang tidak wajar.
Attack path targets private keys and cross-chain configuration
Berdasarkan pengungkapan, masalah terletak pada pengaturan komunikasi lintas rantai vsdCRV. Penyerang mengubah alamat mitra LayerZero v2 menjadi target yang dapat dikendalikan, lalu membuat pesan lintas rantai jahat yang menyebabkan kontrak mencetak sekitar 5,44 triliun vsdCRV langsung ke dompetnya tanpa batasan tambahan.
Serangan semacam ini tidak dilakukan melalui pembelian di pasar terbuka, tetapi langsung memanfaatkan izin protokol dan tahap verifikasi pesan lintas rantai untuk menciptakan pasokan token besar yang seharusnya tidak ada.
Sebagian token telah ditukar dan ditransfer ke Ethereum
Perusahaan keamanan blockchain Blockaid menyatakan bahwa penyerang telah menjual sebagian token, mendapatkan sekitar 43,78 ETH, dan mentransfer dana ke jaringan utama Ethereum. Ini berarti aset terkait telah mulai ditransfer lintas rantai, sehingga kesulitan pelacakan dan pembekuan selanjutnya kemungkinan akan meningkat.
- Serangan terjadi di jaringan Arbitrum
- Token yang terlibat adalah vsdCRV dari Stake DAO
- Sebagian dana telah ditukar menjadi sekitar 43,78 ETH
Dalam survei tim, pengguna diingatkan untuk mencabut otorisasi
Tim DAO sedang terus menyelidiki rangkaian peristiwa, dengan fokus kemungkinan pada bagaimana kunci pribadi bocor, kapan perubahan konfigurasi terjadi, dan apakah ada kontrak atau aset lain yang terdampak.
Selama penyelidikan berlangsung, pengguna telah diingatkan untuk segera mencabut otorisasi terkait guna mengurangi risiko lanjutan. Bagi protokol DeFi, sekali izin diterapkan atau konfigurasi lintas rantai dikendalikan, dampaknya sering kali cepat menyebar dari kontrak tunggal ke tingkat pemindahan dana dan likuiditas.