Stake DAO, o platformă DeFi axată pe strategii de randament automatizate, se confruntă cu un exploit în desfășurare, au raportat miercuri mai multe firme de securitate blockchain.
Atacatorul a emis peste 5,4 trilioane de vsdCRV pe Arbitrum și îl schimbă activ pentru ETH, a notat Blockaid pe X. PeckShield a precizat că, până acum, o parte din tokenuri au fost schimbate pentru 43,78 ETH (91.000 USD) și transferate printr-un bridge către Ethereum.
vsdCRV, sau sdCRV 'vote-boosted', este un token derivat legat de randament, asociat ecosistemului Curve Finance și utilizat în cadrul Stake DAO.
Stake DAO a declarat că este conștientă de situație și a îndemnat utilizatorii să nu interacționeze cu vsdCRV.
Cauza principală suspectată este o cheie privată a deployer-ului Stake DAO compromisă, au declarat cercetătorii.
"Atacatorul pare să fi obținut cheia privată a deployer-ului și să fi setat un peer arbitrar pentru vsdCRV", a explicat BlockSec. "Folosind acel peer, aceștia au falsificat un mesaj malițios care a declanșat minting-ul necondiționat a ~5,44T vsdCRV către adresa lor."
Exploit-ul continuă una dintre cele mai proaste perioade pentru exploit-uri DeFi, aparent impulsionate de progresele în inteligența artificială, cu zeci de protocoale hack-uite pentru mai mult de 600 de milioane de dolari din aprilie, în frunte cu exploit-ul de 292 de milioane de dolari al Kelp DAO. Marți, Manuel Aráoz de la firma de securitate cripto OpenZeppelin a declarat că el consideră "tot DeFi-ul" nesigur, citând asimetria dintre atacatori și apărători.
Shalev Keren, co-fondator și CPO al Sodot, a declarat pentru The Block că exploit-ul Stake DAO este similar structural cu incidentul Wasabi de luna trecută și cu alte câteva compromiteri ale cheilor de deployer din acest an.
"Cheia de deployer a Stake DAO de pe Arbitrum a fost folosită pentru a redirecționa configurația bridge-ului cross-chain vsdCRV către un contract controlat de atacator pe Ethereum, iar aproximativ douăzeci și cinci de secunde mai târziu, acel contract a trimis un mesaj LayerZero înapoi, determinând token-ul legitim Arbitrum să emită peste cinci trilioane de vsdCRV atacatorului, care acum le vinde rapid pentru ETH", a spus Keren. "Nu există un bug de smart-contract aici și nicio eroare în LayerZero; există o singură cheie privată, controlând o singură funcție de configurare privilegiată, fără multisig și fără întârziere între efectuarea modificării configurației și finalizarea minting-ului onchain."
Keren a adăugat că incidentul subliniază preocupări mai largi legate de securitatea operațională și concentrarea permisiunilor privilegiate de deployer legate de protocoalele DeFi auditate.
Aceasta este o știre în curs de dezvoltare.
Disclaimer: The Block este o publicație media independentă care oferă știri, cercetări și date. Începând cu noiembrie 2023, Foresight Ventures este investitor majoritar al The Block. Foresight Ventures investește în alte companii din spațiul cripto. Exchange-ul cripto Bitget este un LP (limited partner) ancoră pentru Foresight Ventures. The Block continuă să opereze independent pentru a oferi informații obiective, relevante și la timp despre industria cripto. Iată dezvăluirile noastre financiare actuale.
© 2026 The Block. Toate drepturile rezervate. Acest articol este furnizat doar în scop informativ. Nu este oferit sau destinat a fi utilizat ca sfat legal, fiscal, investițional, financiar sau de altă natură.
