Інцидент безпеки на платформі Stake DAO
Невідомий зловмисник здійснив атаку на криптовалютну платформу Stake DAO, яка спеціалізується на автоматизованих стратегіях отримання доходу та блокуванні токенів. В результаті інциденту було згенеровано понад 5,4 трильйони токенів vsdCRV у мережі Arbitrum з подальшою спробою їх виведення. Про це повідомили аналітичні компанії Blockaid та PeckShield.
Механізм атаки
Зловмисник отримав доступ до приватного ключа розгортання. Використовуючи цей ключ, він змінив налаштування компонента LayerZero v2 OFT у контракті токена vsdCRV, замінивши його на шкідливий вузол. Далі було надіслано сфабриковане міжмережеве повідомлення, яке ініціювало емісію токенів на адресу зловмисника.
Вартість та реалізація викраденого
Номінальна вартість згенерованих 5,4 трильйонів vsdCRV оцінювалася приблизно у $763 мільярди. Однак, через критично низьку ліквідність, зловмиснику вдалося обміняти лише 16,83 мільйони vsdCRV. Ці токени були конвертовані на 43,7 ETH, вартість яких становила трохи більше $91 000. Обмін здійснювався через низку децентралізованих бірж, включаючи Curve та KyberSwap.
Використання ліквідності та залишок
Зловмисник поступово вичерпав усю доступну ліквідність. Спочатку на платформі Curve відбувалися обміни партій по 963 820 vsdCRV на токени CRV. Надалі, на KyberSwap, зловмисник обмінював додаткові партії на ефір. Цей процес тривав до повного вичерпання ліквідності в пулах. Трильйони токенів, що залишилися, неможливо обміняти через відсутність ліквідності і наразі зберігаються на гаманці зловмисника.
Реакція Stake DAO
Stake DAO підтвердила факт злому та закликала користувачів утримуватися від будь-яких взаємодій з токеном vsdCRV.
Порівняння з іншими інцидентами
Цей випадок має схожість з нещодавнім зломом Echo Protocol. Тоді зловмисник викрав 1000 обгорнутих біткоїнів, вартість яких сягала близько $76,45 мільйонів, проте через аналогічні обмеження ліквідності зміг вивести лише $860 000.
Резюме Crypto Top: Цей інцидент підкреслює критичну залежність безпеки криптовалютних протоколів від управління приватними ключами та вразливості автоматизованих систем. Обмежена ліквідність може слугувати як захистом від масштабних збитків, так і фактором, що ускладнює відстеження та повернення викрадених активів.