Uma suspeita de comprometimento da chave do deployer permitiu que um atacante criasse 5.446.744.073.709 vsdCRV na Arbitrum, manipulando a configuração de pares do LayerZero para forjar uma mensagem cross-chain antes de converter uma parte em aproximadamente 43,78 ETH. As restrições de liquidez limitaram as perdas realizadas bem abaixo da mint nominal, mas o incidente forçou o Stake DAO a avisar os usuários para não interagirem com vsdCRV, levou a Curve a sinalizar um mercado LlamaLend afetado na Arbitrum e fez com que a Beefy Finance pausasse um vault conectado com exposição à Curve e Convex.
A exploração percorreu a infraestrutura exata que os protocolos de rendimento automatizados escondem dos usuários: chaves de deployer, confiança na mensagem cross-chain, contabilidade de tokens wrapper e dependências de oráculos.
WuBlockchain
CoinDesk
TheBlock
Crypto News