Stake DAO, een DeFi-platform gericht op geautomatiseerde rendementstrategieën, wordt geconfronteerd met een aanhoudende exploit, zo meldden meerdere blockchain-beveiligingsbedrijven woensdag.
De aanvaller heeft meer dan 5,4 biljoen vsdCRV gemint op Arbitrum en wisselt dit actief om voor ETH, merkte Blockaid op X op. PeckShield zei dat tot nu toe sommige van de tokens waren omgewisseld voor 43,78 ETH ($91.000) en overbrugd naar Ethereum.
vsdCRV, of vote-boosted sdCRV, is een rendementgerelateerd derivaattoken dat gekoppeld is aan het Curve Finance-ecosysteem en wordt gebruikt binnen Stake DAO.
Stake DAO zei op de hoogte te zijn van de situatie en drong er bij gebruikers op aan om niet met vsdCRV te interageren.
De vermoedelijke hoofdoorzaak is een gecompromitteerde private sleutel van de Stake DAO deployer, zeiden de onderzoekers.
"De aanvaller lijkt de private sleutel van de deployer te hebben verkregen en een willekeurige peer voor vsdCRV te hebben ingesteld," legde BlockSec uit. "Met behulp van die peer vervalsten ze een kwaadaardig bericht dat een onvoorwaardelijke minting van ~5,44T vsdCRV naar hun adres activeerde."
De exploit zet een van de ergste periodes voor DeFi-exploits voort, ogenschijnlijk gedreven door ontwikkelingen in kunstmatige intelligentie, met tientallen protocollen die sinds april zijn gehackt voor meer dan $600 miljoen, aangevoerd door de $292 miljoen exploit van Kelp DAO. Dinsdag zei Manuel Aráoz van cryptobeveiligingsbedrijf OpenZeppelin dat hij "alle DeFi" onveilig acht, daarbij verwijzend naar de asymmetrie tussen aanvallers en verdedigers.
Shalev Keren, mede-oprichter en CPO van Sodot, vertelde The Block dat de Stake DAO exploit structureel vergelijkbaar is met het Wasabi-incident van vorige maand en verschillende andere deployer-sleutelcompromitteringen dit jaar.
"De deployer-sleutel van Stake DAO op Arbitrum werd gebruikt om de vsdCRV cross-chain bridge-configuratie te herleiden naar een door de aanvaller gecontroleerd contract op Ethereum, en ongeveer vijfentwintig seconden later stuurde dat contract een LayerZero-bericht terug, waardoor het legitieme Arbitrum-token meer dan vijf biljoen vsdCRV mintte naar de aanvaller, die het nu dumpt voor ETH," zei Keren. "Er is hier geen smart-contract bug, en geen fout in LayerZero, er is één private sleutel, die één bevoorrechte configuratiefunctie controleert, zonder multisig en zonder vertraging tussen de configuratiewijziging en het onchain clearen van de mint."
Keren voegde eraan toe dat het incident bredere zorgen benadrukt over operationele beveiliging en de concentratie van bevoorrechte deployer-permissies gekoppeld aan geauditeerde DeFi-protocollen.
Dit is een doorlopend verhaal.
Disclaimer: The Block is een onafhankelijke media-uitlaat die nieuws, onderzoek en gegevens levert. Vanaf november 2023 is Foresight Ventures een meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de cryptoruimte. Cryptobeurs Bitget is een anker-LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie over de crypto-industrie te leveren. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle rechten voorbehouden. Dit artikel wordt uitsluitend ter informatie verstrekt. Het is niet bedoeld of aangeboden om te worden gebruikt als juridisch, fiscaal, beleggings-, financieel of ander advies.
