Stake DAO, một nền tảng DeFi tập trung vào các chiến lược lợi suất tự động, đang đối mặt với một cuộc tấn công khai thác (exploit) đang diễn ra, nhiều công ty bảo mật blockchain đã báo cáo vào thứ Tư.
Kẻ tấn công đã đúc hơn 5.4 nghìn tỷ vsdCRV trên Arbitrum và đang tích cực đổi chúng sang ETH, Blockaid ghi nhận trên X. PeckShield cho biết, cho đến nay, một số token đã được đổi lấy 43.78 ETH (91.000 USD) và cầu nối sang Ethereum.
vsdCRV, hay sdCRV được tăng cường biểu quyết (vote-boosted sdCRV), là một token phái sinh liên quan đến lợi suất, gắn liền với hệ sinh thái Curve Finance và được sử dụng trong Stake DAO.
Stake DAO cho biết họ đã nắm được tình hình và kêu gọi người dùng không tương tác với vsdCRV.
Các nhà nghiên cứu cho biết, nguyên nhân gốc rễ bị nghi ngờ là do khóa riêng tư (private key) của bộ triển khai (deployer) của Stake DAO đã bị xâm phạm.
"Kẻ tấn công dường như đã có được khóa riêng tư của bộ triển khai và đặt một peer tùy ý cho vsdCRV," BlockSec giải thích. "Sử dụng peer đó, chúng đã tạo một thông điệp độc hại kích hoạt việc đúc vô điều kiện khoảng 5.44 nghìn tỷ vsdCRV vào địa chỉ của chúng."
Cuộc tấn công khai thác này tiếp nối một trong những giai đoạn tồi tệ nhất đối với các vụ khai thác DeFi, dường như được thúc đẩy bởi những tiến bộ trong trí tuệ nhân tạo, với hàng chục giao thức bị tấn công gây thiệt hại hơn 600 triệu USD kể từ tháng 4, dẫn đầu là vụ khai thác 292 triệu USD của Kelp DAO. Vào thứ Ba, Manuel Aráoz của công ty bảo mật tiền điện tử OpenZeppelin cho biết ông coi "toàn bộ DeFi" là không an toàn, viện dẫn sự bất đối xứng giữa kẻ tấn công và người phòng thủ.
Đồng sáng lập và CPO của Sodot, Shalev Keren, nói với The Block rằng vụ khai thác Stake DAO có cấu trúc tương tự với sự cố Wasabi tháng trước và một số vụ xâm phạm khóa triển khai (deployer-key) khác trong năm nay.
"Khóa triển khai của Stake DAO trên Arbitrum đã được sử dụng để định hướng lại cấu hình cầu nối cross-chain vsdCRV đến một hợp đồng do kẻ tấn công kiểm soát trên Ethereum, và khoảng hai mươi lăm giây sau, hợp đồng đó đã gửi một thông điệp LayerZero trở lại, khiến token Arbitrum hợp pháp đúc hơn năm nghìn tỷ vsdCRV cho kẻ tấn công, hiện đang bán đổ bán tháo để lấy ETH," Keren nói. "Không có lỗi hợp đồng thông minh nào ở đây, và không có lỗ hổng nào trong LayerZero, chỉ có một khóa riêng tư, kiểm soát một chức năng cấu hình đặc quyền, không có multisig và không có độ trễ giữa việc thay đổi cấu hình được thực hiện và quá trình đúc được xác nhận trên chuỗi."
Keren nói thêm rằng sự cố này làm nổi bật những lo ngại rộng lớn hơn về bảo mật vận hành và sự tập trung quyền hạn triển khai đặc quyền gắn liền với các giao thức DeFi đã được kiểm toán.
Đây là một câu chuyện đang được cập nhật.
Tuyên bố miễn trừ trách nhiệm: The Block là một cơ quan truyền thông độc lập cung cấp tin tức, nghiên cứu và dữ liệu. Tính đến tháng 11 năm 2023, Foresight Ventures là nhà đầu tư chính của The Block. Foresight Ventures đầu tư vào các công ty khác trong không gian tiền điện tử. Sàn giao dịch tiền điện tử Bitget là một LP neo cho Foresight Ventures. The Block tiếp tục hoạt động độc lập để cung cấp thông tin khách quan, có tác động và kịp thời về ngành công nghiệp tiền điện tử. Dưới đây là các công bố tài chính hiện tại của chúng tôi.
© 2026 The Block. Mọi quyền được bảo lưu. Bài viết này chỉ được cung cấp cho mục đích thông tin. Nó không được cung cấp hoặc dự định được sử dụng làm lời khuyên pháp lý, thuế, đầu tư, tài chính hoặc lời khuyên khác.
