去中心化金融（DeFi）平台 Stake DAO 确认其在 Arbitrum 第二层网络上的协议在 5 月 27 日遭到攻击，允许未经授权的方恶意铸造数万亿的合成代币。根据区块链安全公司 Blockaid 的初步调查，攻击者利用了与 Stake DAO 的 vsdCRV 库逻辑和自动奖励分配系统相关的无限铸造漏洞。

合同接受了无效状态转换，导致严重的内部会计故障。这个漏洞使攻击者将 vsdCRV 的供应量膨胀了 5.4 万亿个单位。一些报告显示，攻击者在问题被识别和停止之前，能够从受影响的流动性池中抽取大约 91,000 美元的可转移数字资产。

Stake DAO 核心贡献者迅速采取措施以减少进一步损失，宣布他们已成功确保了以太坊主网的 vsdCRV 支撑。由于快速控制，协议官员确认攻击者无法扣押任何主网资金。此外，团队还关闭了 vsdCRV 桥梁，成功将漏洞的经济影响限制在 Arbitrum 生态系统内。

“根据我们的当前评估，Boosted yields、Liquid Lockers、Votemarket 和 Stake DAO 在 Morpho 上的借贷未受到影响，”Stake DAO 在通过社交媒体平台 X 分享的声明中表示。

然而，协议指出，在事件后，Arbitrum asdCRV Llamalend 市场将永久关闭。Stake DAO 已建议用户不要与 vsdCRV 合同互动，并敦促 crvUSD 存款人将其资本迁移到其他未受影响的 Llamalend 市场。

已通知执法机构，Stake DAO 表示正在与外部安全伙伴合作，以追踪被盗资产的流动，并进行全面的取证审计，审计受损的智能合约。

此次事件的发生恰逢更广泛的 DeFi 生态系统试图对 Openzeppelin 联合创始人 Manuel Aráoz 最近提出的“所有 DeFi 都不安全”的病毒性论调进行反击。Aráoz 的悲观评估让行业参与者感到震惊，迫使一个已经因一波协议攻击和结构性漏洞而疲惫的行业进行反思。Stake DAO 的漏洞凸显了 Aráoz 的论调，复杂化了行业恢复机构和零售信心的努力。

该论调促使 Openzeppelin 发布声明，与 Aráoz 拉开距离，称其于 2019 年离开组织。Openzeppelin 还回应了 Aráoz 提出的关键担忧，承认虽然人工智能是一个真实的威胁向量，但当“严格和专业的人类判断”使用时，它也是一个强大的防御工具。

“我们的研究人员每天都使用人工智能来捕捉更多问题和边缘案例，”Openzeppelin 在一份声明中表示。“应对人工智能风险的方法不是从 DeFi 后撤，而是改善安全性。”

针对近期的一系列安全事件，Openzeppelin 坚持认为许多人可以追溯到操作安全失误，而不是智能合约漏洞。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。