InicioCentro de noticias de LBank
Investigadores de seguridad alertan sobre exploit en curso de Stake DAO tras atacante acuñar billones de vsdCRV
security-researchers-flag-ongoing-stakedao-exploit-vsdcrv
Investigadores de seguridad alertan sobre exploit en curso de Stake DAO tras atacante acuñar billones de vsdCRV
Varias firmas de seguridad blockchain afirmaron que Stake DAO fue el objetivo de un exploit en curso, vinculado a un presunto compromiso de la clave de despliegue. Según los investigadores, el atacante acuñó 5.4 billones de vsdCRV en Arbitrum y está intercambiando activamente los tokens por ether.
2026-05-27 Fuente:theblock.co

Stake DAO, una plataforma DeFi centrada en estrategias de rendimiento automatizadas, se enfrenta a un exploit en curso, según informaron varias empresas de seguridad blockchain el miércoles.

El atacante acuñó más de 5.4 billones de vsdCRV en Arbitrum y los está intercambiando activamente por ETH, señaló Blockaid en X. PeckShield dijo que, hasta ahora, algunos de los tokens habían sido intercambiados por 43.78 ETH ($91,000) y puenteados a Ethereum.

vsdCRV, o sdCRV potenciado por votos, es un token derivado relacionado con el rendimiento, vinculado al ecosistema de Curve Finance y utilizado dentro de Stake DAO.

Stake DAO declaró que estaba al tanto de la situación e instó a los usuarios a no interactuar con vsdCRV.

La causa raíz sospechosa es una clave privada de implementador (deployer private key) de Stake DAO comprometida, dijeron los investigadores. 

"El atacante parece haber obtenido la clave privada del implementador y haber establecido un par arbitrario para vsdCRV", explicó BlockSec. "Utilizando ese par, forjaron un mensaje malicioso que activó la acuñación incondicional de ~5.44T vsdCRV a su dirección."

El exploit continúa uno de los peores períodos para los exploits de DeFi, aparentemente impulsados por los avances en inteligencia artificial, con docenas de protocolos hackeados por más de $600 millones desde abril, liderados por el exploit de Kelp DAO de $292 millones. El martes, Manuel Aráoz, de la empresa de seguridad cripto OpenZeppelin, dijo que considera "todo DeFi" inseguro, citando la asimetría entre atacantes y defensores.

Shalev Keren, cofundador y CPO de Sodot, dijo a The Block que el exploit de Stake DAO es estructuralmente similar al incidente de Wasabi del mes pasado y a varios otros compromisos de claves de implementador (deployer-key) de este año.

"La clave de implementador de Stake DAO en Arbitrum se utilizó para redirigir la configuración del puente entre cadenas de vsdCRV a un contrato controlado por el atacante en Ethereum, y unos veinticinco segundos después, ese contrato envió un mensaje de LayerZero de vuelta, haciendo que el token legítimo de Arbitrum acuñara más de cinco billones de vsdCRV para el atacante, quien ahora lo está vendiendo por ETH", dijo Keren. "Aquí no hay ningún error de contrato inteligente, ni ninguna falla en LayerZero, hay una clave privada, que controla una función de configuración privilegiada, sin multifirma y sin demora entre el cambio de configuración y la liquidación de la acuñación en la cadena."

Keren añadió que el incidente destaca preocupaciones más amplias sobre la seguridad operativa y la concentración de permisos de implementador privilegiados vinculados a protocolos DeFi auditados.

Esta es una historia en desarrollo.


Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigaciones y datos. A partir de noviembre de 2023, Foresight Ventures es un inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del espacio cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block continúa operando de forma independiente para ofrecer información objetiva, relevante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.

© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni está destinado a ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.