Stake DAO подверглась атаке в сети Arbitrum: злоумышленник незаконно выпустил 5,44 трлн vsdCRV

По данным CoinDesk, в сети Arbitrum произошёл инцидент безопасности с участием Stake DAO. Предположительно, злоумышленник получил доступ к приватному ключу деплойера протокола, после чего изменил конфигурацию эндпоинта LayerZero v2 для vsdCRV и начал подделывать кроссчейн-сообщения. Это привело к масштабной аномальной эмиссии токенов. В раскрытии говорится, что первопричина связана с настройками кроссчейн-коммуникации vsdCRV. Атакующий заменил адрес эндпоинта LayerZero v2 на контролируемый им, сформировал вредоносное кроссчейн-сообщение и добился того, чтобы контракт без дополнительных ограничений выпустил около 5,44 трлн vsdCRV напрямую на его кошелёк. Подчёркивается, что речь идёт не о скупке на открытом рынке: токены были созданы за счёт злоупотребления правами протокола и механикой верификации кроссчейн-сообщений, то есть сформировалась эмиссия "несуществующих" активов. Часть токенов уже была погашена и выведена в сеть Ethereum. По оценке компании Blockaid, злоумышленники продали часть токенов, получив примерно 43,78 ETH, и перевели средства мостом обратно в основную сеть Ethereum. Это указывает на начало межсетевых перемещений активов, что может усложнить дальнейшее отслеживание и заморозку. Инцидент произошёл в сети Arbitrum и затронул токен vsdCRV от Stake DAO. Команда Stake DAO продолжает расследование, проверяя, как мог быть скомпрометирован приватный ключ, когда были внесены изменения в конфигурацию и затронуты ли другие контракты или активы. На время расследования пользователям рекомендовано как можно скорее отозвать связанные разрешения (revoke authorization), чтобы снизить последующие риски.