Stake DAO, Arbitrum üzerinde bir güvenlik olayı yaşadı; saldırgan, protokolün dağıtıcısının özel anahtarına erişerek vsdCRV'nin LayerZero v2 uç yapılandırmasını değiştirdi ve ardından sahte çapraz zincir mesajları oluşturarak büyük ölçekli anormal maden çıkarma tetikledi.
Saldırı yolu, özel anahtar ve çapraz zincir yapılandırmasına yöneliktir.
Açıklamaya göre sorun, vsdCRV'nin çapraz zincir iletişim ayarlarında ortaya çıktı. Saldırgan, LayerZero v2'nin karşılık gelen adresini kontrol edilebilir bir hedefe değiştirdi ve ek kısıtlamalar olmadan cüzdanına yaklaşık 5,44 trilyon vsdCRV üretmesine neden olan zararlı bir çapraz zincir mesajı oluşturdu.
Bu tür saldırılar, açık piyasadaki alımlarla değil, protokol yetkilerini ve çapraz zincir mesaj doğrulama aşamalarını doğrudan kullanarak mevcut olmaması gereken büyük miktarlarda token üreterek gerçekleştirilir.
Bazı tokenlar takas edilip Ethereum'a aktarıldı.
Blockchain güvenlik şirketi Blockaid, saldırganların bazı tokenleri satarak yaklaşık 43,78 ETH elde ettiğini ve fonları Ethereum ana ağına köprülediğini açıkladı. Bu, ilgili varlıkların çapraz zincir transferine başladığını gösteriyor ve sonraki takip ve dondurma zorluğu artabilir.
- Saldırı Arbitrum ağında gerçekleşti.
- İlgili token, Stake DAO'nun vsdCRV'sidir.
- Yaklaşık 43,78 ETH'ye dönüştürülen bir miktar fon zaten mevcut.
Takım araştırmasında kullanıcılar, yetki iptalini hatırlatıldı.
Stake DAO ekibi, olayın nasıl meydana geldiğini araştırmaya devam ediyor; bu, anahtarın nasıl sızdığı, yapılandırma değişikliklerinin ne zaman gerçekleştiği ve başka sözleşmelerin veya varlıkların etkilenip etkilenmediği konularını içerebilir.
Sorun araştırması devam ederken, kullanıcılar ilgili yetkileri hemen iptal etmeye uyarıldı ki sonraki riskler azaltılsın. DeFi protokollerinde, yetki verilmesi veya çapraz zincir yapılandırması kontrol altına alındığında etki, genellikle tek bir sözleşme üzerinden hemen fon transferi ve likidite seviyelerine yayılır.