StakeDAOのデプロイヤー鍵が流出、アービトラムで5.45兆vsdCRVをミント
セキュリティ企業によると、今回の攻撃は侵害されたデプロイヤー鍵に関連しているとみられ、攻撃者はクロスチェーンメッセージングの設定を変更してアービトラム上で数兆単位のvsdCRVをミントし、その一部をETHに交換した。
ETH
ARB
ファクトチェック
The Blockの報道は、アービトラム上で5.4兆vsdCRVがミントされ、原因はデプロイヤーの秘密鍵の侵害にあると研究者らが判断したことを裏付けている。StakeDAO自身の公式X投稿もこの事案を認め、ユーザーにvsdCRVとやり取りしないよう警告している。PeckShieldを引用したPaNewsも、無限ミント型エクスプロイトの特徴を伴う5.4兆のミントを独自に裏付けており、Odailyは約5.45兆という数字とともにデプロイヤー鍵の漏えいを明確に報じている。わずかな数値差(5.45T対5.4T)は、丸めによる整合的な差異である。この主張の中核要素――デプロイヤー鍵の漏えい、舞台がアービトラムであること、数兆規模のvsdCRVミント、そしてStakeDAOの警告――は、いずれも裏付けられている。
要約
Stake DAOは、アービトラム上のvsdCRVトークンを巡る現在進行中の攻撃に直面している。セキュリティ企業によると、攻撃者は5.4兆超のトークンをミントし、その一部を約$91,000相当の43.78 ETHに交換した後、資金をイーサリアムにブリッジした。BlockSecによれば、原因として疑われるのは、侵害されたStake DAOのデプロイヤー秘密鍵であり、これがvsdCRV向けに任意のピアを設定し、悪意あるクロスチェーンメッセージを偽造するために使われ、攻撃者のアドレスに約5.44兆vsdCRVが無条件でミントされたという。Stake DAOはこの事案を認識しているとし、ユーザーにvsdCRVとやり取りしないよう呼びかけた。The Blockはまた、Sodotの共同創業者であるShalev Kerenの見解として、この攻撃は構造的に他のデプロイヤー鍵侵害事案と類似しており、LayerZeroのメッセージがミントを発動させる前に、アービトラム上のvsdCRVクロスチェーンブリッジ設定をイーサリアム上の攻撃者管理コントラクトへ変更することが含まれていたと伝えた。
用語解説
- アービトラム: イーサリアムのメインブロックチェーンよりも低コストかつ高速に取引を処理するよう設計されたイーサリアムのレイヤー2ネットワーク。
- vsdCRV: Vote-boosted sdCRVは、カーブのエコシステムに結び付いたイールド関連のデリバティブトークンであり、Stake DAO内で利用されている。
- LayerZero: アプリケーションがブロックチェーン間でメッセージを送信できるクロスチェーンメッセージングプロトコル。この事案では、欠陥の発生源ではなく、攻撃経路の一部として挙げられている。