Stake DAO, platforma DeFi skupiona na zautomatyzowanych strategiach yield, zmaga się z trwającym exploitem, jak poinformowały w środę liczne firmy zajmujące się bezpieczeństwem blockchain.
Napastnik wyemitował ponad 5,4 biliona vsdCRV na Arbitrum i aktywnie wymienia je na ETH, zauważył Blockaid na X. PeckShield podał, że do tej pory część tokenów została wymieniona na 43,78 ETH (91 000 USD) i zmostkowana do Ethereum.
vsdCRV, czyli vote-boosted sdCRV, to pochodny token związany z yield, powiązany z ekosystemem Curve Finance i używany w ramach Stake DAO.
Stake DAO oświadczyło, że jest świadome sytuacji i wezwało użytkowników do niezawierania interakcji z vsdCRV.
Podejrzaną przyczyną ataku jest skompromitowany klucz prywatny deployera Stake DAO, jak stwierdzili badacze.
"Napastnik najwyraźniej uzyskał klucz prywatny deployera i ustawił dowolnego peera dla vsdCRV", wyjaśnił BlockSec. "Wykorzystując tego peera, sfałszował złośliwą wiadomość, która wywołała bezwarunkową emisję około 5,44 biliona vsdCRV na swój adres."
Exploit ten kontynuuje jeden z najgorszych okresów dla exploitów DeFi, pozornie napędzany postępami w sztucznej inteligencji, z dziesiątkami protokołów zhakowanych na ponad 600 milionów dolarów od kwietnia, z czego największy był exploit Kelp DAO o wartości 292 milionów dolarów. We wtorek Manuel Aráoz z firmy OpenZeppelin zajmującej się bezpieczeństwem kryptowalut stwierdził, że uważa "całe DeFi" za niebezpieczne, powołując się na asymetrię między atakującymi a obrońcami.
Shalev Keren, współzałożyciel i CPO Sodot, powiedział The Block, że exploit Stake DAO jest strukturalnie podobny do incydentu Wasabi z zeszłego miesiąca i kilku innych kompromitacji kluczy deployerów w tym roku.
"Klucz deployera Stake DAO na Arbitrum został użyty do przekierowania konfiguracji mostu cross-chain vsdCRV do kontrolowanego przez atakującego kontraktu na Ethereum, a około dwadzieścia pięć sekund później ten kontrakt wysłał wiadomość LayerZero z powrotem, powodując wyemitowanie przez legalny token Arbitrum ponad pięciu bilionów vsdCRV do atakującego, który teraz wymienia je na ETH", powiedział Keren. "Nie ma tu błędu w smart-kontrakcie ani wady w LayerZero; jest jeden klucz prywatny, kontrolujący jedną uprzywilejowaną funkcję konfiguracyjną, bez multisig i bez opóźnienia między wprowadzeniem zmiany konfiguracji a zatwierdzeniem emisji w łańcuchu."
Keren dodał, że incydent ten podkreśla szersze obawy dotyczące bezpieczeństwa operacyjnego i koncentracji uprzywilejowanych uprawnień deployerów powiązanych z audytowanymi protokołami DeFi.
Jest to rozwijająca się historia.
Zastrzeżenie: The Block jest niezależnym medium, które dostarcza wiadomości, badania i dane. Od listopada 2023 r. Foresight Ventures jest większościowym inwestorem The Block. Foresight Ventures inwestuje w inne firmy w przestrzeni kryptowalut. Giełda kryptowalut Bitget jest głównym LP dla Foresight Ventures. The Block nadal działa niezależnie, aby dostarczać obiektywne, wpływowe i aktualne informacje o branży kryptowalut. Oto nasze aktualne ujawnienia finansowe.
© 2026 The Block. Wszelkie prawa zastrzeżone. Niniejszy artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porada prawna, podatkowa, inwestycyjna, finansowa ani żadna inna.
