Stake DAO, sebuah platform DeFi yang berfokus pada strategi imbal hasil otomatis, sedang menghadapi eksploitasi berkelanjutan, dilaporkan oleh beberapa perusahaan keamanan blockchain pada hari Rabu.
Penyerang mencetak lebih dari 5,4 triliun vsdCRV di Arbitrum dan secara aktif menukarnya dengan ETH, Blockaid mencatat di X. PeckShield mengatakan bahwa, sejauh ini, beberapa token telah ditukar dengan 43,78 ETH ($91.000) dan dijembatani ke Ethereum.
vsdCRV, atau sdCRV yang ditingkatkan suara (vote-boosted sdCRV), adalah token derivatif terkait imbal hasil yang terikat pada ekosistem Curve Finance dan digunakan dalam Stake DAO.
Stake DAO menyatakan bahwa mereka menyadari situasi tersebut dan mendesak pengguna untuk tidak berinteraksi dengan vsdCRV.
Penyebab utama yang dicurigai adalah kunci pribadi deployer Stake DAO yang disusupi, kata para peneliti.
"Penyerang tampaknya telah memperoleh kunci pribadi deployer dan menetapkan peer arbitrer untuk vsdCRV," jelas BlockSec. "Menggunakan peer tersebut, mereka memalsukan pesan berbahaya yang memicu pencetakan tanpa syarat sekitar 5,44T vsdCRV ke alamat mereka."
Eksploitasi ini melanjutkan salah satu periode terburuk untuk eksploitasi DeFi, yang tampaknya didorong oleh kemajuan dalam kecerdasan buatan, dengan puluhan protokol diretas lebih dari $600 juta sejak April, dipimpin oleh eksploitasi Kelp DAO senilai $292 juta. Pada hari Selasa, perusahaan keamanan kripto OpenZeppelin, Manuel Aráoz, mengatakan bahwa ia menganggap "seluruh DeFi" tidak aman, mengutip asimetri antara penyerang dan pembela.
Salah satu pendiri dan CPO Sodot, Shalev Keren, mengatakan kepada The Block bahwa eksploitasi Stake DAO secara struktural mirip dengan insiden Wasabi bulan lalu dan beberapa kompromi kunci deployer lainnya tahun ini.
"Kunci deployer Stake DAO di Arbitrum digunakan untuk mengarahkan ulang konfigurasi bridge lintas-rantai (cross-chain bridge) vsdCRV ke kontrak yang dikendalikan penyerang di Ethereum, dan sekitar dua puluh lima detik kemudian, kontrak tersebut mengirimkan pesan LayerZero kembali, menyebabkan token Arbitrum yang sah mencetak lebih dari lima triliun vsdCRV kepada penyerang, yang sekarang membuangnya untuk ETH," kata Keren. "Tidak ada bug smart contract di sini, dan tidak ada cacat di LayerZero, hanya ada satu kunci pribadi, yang mengontrol satu fungsi konfigurasi istimewa, tanpa multisig dan tanpa penundaan antara perubahan konfigurasi yang terjadi dan proses pencetakan di onchain."
Keren menambahkan bahwa insiden ini menyoroti kekhawatiran yang lebih luas seputar keamanan operasional dan konsentrasi izin deployer istimewa yang terikat pada protokol DeFi yang diaudit.
Ini adalah berita yang sedang berkembang.
Disclaimer: The Block adalah media independen yang menyajikan berita, riset, dan data. Per November 2023, Foresight Ventures adalah investor mayoritas The Block. Foresight Ventures berinvestasi di perusahaan lain di ruang kripto. Bursa kripto Bitget adalah LP jangkar untuk Foresight Ventures. The Block terus beroperasi secara independen untuk memberikan informasi yang objektif, berdampak, dan tepat waktu tentang industri kripto. Berikut adalah pengungkapan keuangan kami saat ini.
© 2026 The Block. Hak Cipta Dilindungi Undang-Undang. Artikel ini disediakan hanya untuk tujuan informasi. Ini tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau nasihat lainnya.
