ステークDAOで5.4兆vsdCRVが不正ミント、秘密鍵侵害の可能性

Stake DAOで5.4兆vsdCRVが不正ミント

分散型金融(DeFi)プロトコルのステークDAO(Stake DAO)でvsdCRVの不正ミントが発生した。同プロトコル公式Xでは、5月27日に状況を認識しているとしたうえで、ユーザーに対しvsdCRVとの取引を行わないよう呼びかけている。

ブロックチェーンセキュリティ企業ブロックエイド(Blockaid)によると、攻撃者はアービトラム(Arbitrum)上で約5.4兆vsdCRVをミントしたという。

またセキュリティ企業ペックシールド(PeckShield)は、攻撃者が不正にミントしたvsdCRVの一部を43.781ETHへ交換した後、イーサリアム(Ethereum)へブリッジしたと分析している。

なおvsdCRVは、分散型取引所(DEX)カーブファイナンス(Curve Finance)のガバナンストークン「CRV」をステークDAO上で運用する際に利用される派生トークンだ。ユーザーはCRVをステークDAOへ預けることでsdCRVを受け取り、その運用やガバナンス戦略に利用できる。vsdCRVは、ガバナンス投票の影響力を高める仕組みの中で利用されている。

その後ステークDAOチームは、初期調査の結果として、権限のない第三者(攻撃者)がアービトラム上でvsdCRVをミントしたとXで報告した。

同プロトコルによると、コントリビューターはメインネット上のvsdCRVの裏付け資産を保護するとともに、vsdCRVブリッジを停止したという。これにより影響範囲はアービトラムに限定されたとしている。

また現時点の評価では、「ブーステッド・イールド(Boosted Yields)」、「リキッド・ロッカーズ(Liquid Lockers)」、「ボートマーケット(Votemarket)」、およびモルフォ(Morpho)上のStake DAOレンディングは影響を受けていないという。一方で、アービトラム上のasdCRVラマレンド(Llamalend)市場については終了手続きに入ったと説明している。

ステークDAOは、法執行機関およびセキュリティパートナーと連携して調査を進めているとした。

ブロックエイドによると、今回の根本原因としてステークDAOのデプロイヤー秘密鍵が侵害された可能性があるという。

同社によると、攻撃者はその秘密鍵を利用して、vsdCRVのクロスチェーン発行に利用されているレイヤーゼロ v2(LayerZero v2)の設定を変更したとのこと。

本来アービトラム側のvsdCRVは、正規のイーサリアム側コントラクトから送られるメッセージのみを信頼する仕組みとなっている。しかし攻撃者は、この信頼先を自身が展開したコントラクトへ変更したという。

その後、攻撃者は自身のコントラクトから偽のクロスチェーンメッセージを送信し、約5.4兆vsdCRVを不正にミントしたとブロックエイドは分析している。

なお、これらの内容はブロックエイドによる初期分析に基づくものであり、ステークDAOは記事執筆時点で攻撃経路の詳細については公表していない。

参考:コインゲッコー
画像:PIXTA

関連ニュース

参照元:ニュース – あたらしい経済

コメント

タイトルとURLをコピーしました