Stake DAO, uma plataforma DeFi focada em estratégias de rendimento automatizadas, está enfrentando um exploit em andamento, relataram várias empresas de segurança de blockchain na quarta-feira.
O invasor cunhou mais de 5,4 trilhões de vsdCRV na Arbitrum e está ativamente trocando-os por ETH, observou a Blockaid no X. A PeckShield disse que, até agora, alguns dos tokens foram trocados por 43,78 ETH (US$ 91.000) e transferidos para a Ethereum.
vsdCRV, ou sdCRV com voto impulsionado, é um token derivativo relacionado a rendimento, vinculado ao ecossistema Curve Finance e usado dentro da Stake DAO.
A Stake DAO disse estar ciente da situação e pediu aos usuários que não interajam com o vsdCRV.
A causa raiz suspeita é uma chave privada de deployer da Stake DAO comprometida, disseram os pesquisadores.
"O invasor parece ter obtido a chave privada do deployer e definido um par arbitrário para o vsdCRV", explicou a BlockSec. "Usando esse par, eles forjaram uma mensagem maliciosa que desencadeou a cunhagem incondicional de ~5,44T de vsdCRV para seu endereço."
O exploit continua um dos piores períodos para exploits de DeFi, aparentemente impulsionado por avanços em inteligência artificial, com dezenas de protocolos hackeados por mais de US$ 600 milhões desde abril, liderados pelo exploit de US$ 292 milhões da Kelp DAO. Na terça-feira, Manuel Aráoz, da empresa de segurança de cripto OpenZeppelin, disse que considera "todo o DeFi" inseguro, citando a assimetria entre atacantes e defensores.
Shalev Keren, co-fundador e CPO da Sodot, disse ao The Block que o exploit da Stake DAO é estruturalmente semelhante ao incidente Wasabi do mês passado e a vários outros comprometimentos de chaves de deployer este ano.
"A chave de deployer da Stake DAO na Arbitrum foi usada para redirecionar a configuração da ponte cross-chain do vsdCRV para um contrato controlado pelo invasor na Ethereum, e cerca de vinte e cinco segundos depois, esse contrato enviou uma mensagem LayerZero de volta, fazendo com que o token legítimo da Arbitrum cunhasse mais de cinco trilhões de vsdCRV para o invasor, que agora está vendendo-os por ETH", disse Keren. "Não há um bug de contrato inteligente aqui, e nenhuma falha no LayerZero; há uma chave privada, controlando uma função de configuração privilegiada, sem multisig e sem atraso entre a alteração da configuração e a liquidação da cunhagem on-chain."
Keren acrescentou que o incidente destaca preocupações mais amplas em torno da segurança operacional e da concentração de permissões privilegiadas de deployer ligadas a protocolos DeFi auditados.
Esta é uma notícia em desenvolvimento.
Disclaimer: O Block é um veículo de mídia independente que entrega notícias, pesquisas e dados. Em novembro de 2023, a Foresight Ventures é uma investidora majoritária do The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de criptomoedas Bitget é uma LP âncora para a Foresight Ventures. O Block continua a operar independentemente para entregar informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.
© 2026 The Block. Todos os Direitos Reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou destinado a ser usado como aconselhamento jurídico, fiscal, de investimento, financeiro ou outro.
