Stake DAO, eine DeFi-Plattform, die sich auf automatisierte Ertragsstrategien konzentriert, ist einem anhaltenden Exploit ausgesetzt, wie mehrere Blockchain-Sicherheitsfirmen am Mittwoch berichteten.
Der Angreifer hat über 5,4 Billionen vsdCRV auf Arbitrum gemintet und tauscht diese aktiv gegen ETH ein, wie Blockaid auf X feststellte. PeckShield sagte, dass bisher einige der Token gegen 43,78 ETH (91.000 US-Dollar) getauscht und zu Ethereum überbrückt worden waren.
vsdCRV, oder vote-boosted sdCRV, ist ein ertragsbezogener Derivat-Token, der an das Curve Finance Ökosystem gebunden ist und innerhalb von Stake DAO verwendet wird.
Stake DAO erklärte, sich der Situation bewusst zu sein und forderte die Nutzer auf, nicht mit vsdCRV zu interagieren.
Die vermutete Ursache ist ein kompromittierter privater Stake DAO Deployer-Schlüssel, so die Forscher.
"Der Angreifer scheint den privaten Schlüssel des Deployers erlangt und einen beliebigen Peer für vsdCRV festgelegt zu haben", erklärte BlockSec. "Unter Verwendung dieses Peers fälschten sie eine bösartige Nachricht, die das bedingungslose Minting von ~5,44 Billionen vsdCRV an ihre Adresse auslöste."
Der Exploit setzt eine der schlimmsten Perioden für DeFi-Exploits fort, scheinbar angetrieben durch Fortschritte in der künstlichen Intelligenz, wobei Dutzende von Protokollen seit April für mehr als 600 Millionen US-Dollar gehackt wurden, angeführt vom 292 Millionen US-Dollar Exploit von Kelp DAO. Am Dienstag sagte Manuel Aráoz von der Krypto-Sicherheitsfirma OpenZeppelin, dass er "das gesamte DeFi" für unsicher halte, und verwies auf die Asymmetrie zwischen Angreifern und Verteidigern.
Shalev Keren, Mitbegründer und CPO von Sodot, sagte gegenüber The Block, dass der Stake DAO Exploit strukturell dem Wasabi-Vorfall vom letzten Monat und mehreren anderen Kompromittierungen von Deployer-Schlüsseln in diesem Jahr ähnelt.
"Der Stake DAO Deployer-Schlüssel auf Arbitrum wurde verwendet, um die Konfiguration der vsdCRV Cross-Chain-Brücke auf einen Angreifer-kontrollierten Vertrag auf Ethereum umzuleiten, und etwa fünfundzwanzig Sekunden später sandte dieser Vertrag eine LayerZero-Nachricht zurück, was dazu führte, dass der legitime Arbitrum-Token über fünf Billionen vsdCRV an den Angreifer mintete, der diese nun für ETH abstößt", sagte Keren. "Es gibt hier keinen Smart-Contract-Bug und keinen Fehler in LayerZero, es gibt einen privaten Schlüssel, der eine privilegierte Konfigurationsfunktion steuert, ohne Multisig und ohne Verzögerung zwischen der Konfigurationsänderung und der Onchain-Freigabe des Mintings."
Keren fügte hinzu, dass der Vorfall größere Bedenken hinsichtlich der Betriebssicherheit und der Konzentration privilegierter Deployer-Berechtigungen in Verbindung mit geprüften DeFi-Protokollen hervorhebt.
Dies ist eine sich entwickelnde Geschichte.
Haftungsausschluss: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Recherchen und Daten liefert. Seit November 2023 ist Foresight Ventures Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Kryptobereich. Die Krypto-Börse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Kryptoindustrie zu liefern. Hier sind unsere aktuellen finanziellen Offenlegungen.
© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Er wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder ist nicht dafür bestimmt, als solche verwendet zu werden.
