Stake DAO 正面临与其 Arbitrum 上的 vsdCRV 代币相关的持续漏洞。区块链安全公司 Blockaid 表示,攻击者铸造了超过 5.4 万亿个 vsdCRV,并开始将代币兑换成 ETH。
- Stake DAO 警告用户不要与 vsdCRV 交互,因为该漏洞仍然处于活动状态。
- 安全研究人员表示,攻击者在交换资金之前在 Arbitrum 上铸造了约 5.4 万亿个 vsdCRV。
- 疑似原因是用于更改 LayerZero 对等设置的部署者密钥遭到泄露。
Stake DAO 确认已了解情况,并告诉用户不要与 vsdCRV 互动。该项目发出警告之际,研究人员继续跟踪攻击者在 Arbitrum 和以太坊上的活动。
vsdCRV,或投票提升的 sdCRV,与 Curve Finance 生态系统绑定,并在 Stake DAO 的收益产品中使用。在攻击者据称获得足够的控制权并铸造大量供应后,该代币成为事件的中心。
PeckShield 表示部分铸造资金已兑换为 43.78 ETH,价值约 91,000 美元,并桥接到以太坊。该事件仍在发展中,随着更多交易的追踪,最终损失数字可能会发生变化。
研究人员指出部署者密钥遭到泄露
Blockaid 表示,可疑的根本原因是 Stake DAO 部署者私钥遭到泄露。 据该公司称,攻击者利用该访问权限为 vsdCRV 代币合约重新配置 LayerZero v2 OFT 对等点。
据称,这一变化将信任从合法的以太坊端适配器重定向到攻击者控制的恶意合约。随后,攻击者发送了一条伪造的跨链消息,触发了大约 5.44 万亿个 vsdCRV 的铸造。 BlockSec 将此次攻击描述为攻击者似乎获取了部署者的私钥并为 vsdCRV 设置任意对等点的情况。该公司表示,伪造的消息随后导致无条件铸造到攻击者的地址。该事件表明特权访问仍然是 DeFi 的主要风险。即使智能合约代码按设计工作,受损的部署者密钥也可以使攻击者能够更改可信设置并引发损失。
DeFi 安全担忧加深
Stake DAO 漏洞是在最近发生的一系列 DeFi 事件之后发生的。正如 crypto.news 之前报道的,OpenZeppelin 联合创始人 Manuel Aráoz 表示,他现在认为“所有 DeFi”都不安全,并建议朋友和家人退出 DeFi 头寸。
Aráoz 认为,编码代理正在成为查找漏洞的强大工具,而防御者仍然需要在攻击者发现漏洞之前修复每个漏洞。他发表此番言论之际,4 月份 DeFi 协议因黑客攻击损失了约 6.297 亿美元。
另外,Wasabi Protocol 在以太坊、Base、Berachain 和 Blast 上损失了超过 500 万美元,因为管理密钥泄露导致攻击者能够升级合约并耗尽资金。
该案例类似于当前的 Stake DAO 问题,因为这两起事件都涉及特权密钥访问,而不是简单的市场操纵事件。 Wasabi 还警告用户在团队调查期间不要与其合约进行交互。
跨链风险仍是焦点
Stake DAO 事件也指向了跨链代币风险。安全报告跟踪了 2026 年涉及桥接、对等设置和跨链消息验证的重复攻击。
BlockSec 的 5 月份安全综述列出涉及以太坊、Sui、BNB Chain、Base、Blast 和 Berachain 的多起事件,两周内总损失约为 1590 万美元。其博客还将 Wasabi 确定为关键妥协案例。
4 月份,Kelp DAO 遭受了今年最大的 DeFi 攻击之一,攻击者从 LayerZero 驱动的桥上盗取了约 2.92 亿美元。此次泄露引发了人们对跨 20 多个网络的跨链资产支持的担忧。