Stake DAO面临vsdCRV代币攻击
Stake DAO目前正面临与其vsdCRV代币相关的持续攻击,该代币在Arbitrum网络上受到影响。区块链安全公司Blockaid表示,攻击者铸造了超过5.4万亿个vsdCRV代币,并开始将这些代币兑换为以太坊(ETH)。
Stake DAO确认已意识到这一情况,并提醒用户不要与vsdCRV进行交互。该项目的警告发布之际,研究人员仍在追踪攻击者在Arbitrum和以太坊上的活动。Stake DAO表示:
“我们已知晓当前的情况,请勿与vsdCRV或投票增强的sdCRV进行交互。”
vsdCRV代币与Curve Finance生态系统相关,并用于Stake DAO的收益产品中。此次事件的中心是攻击者显然获得了足够的控制权,铸造了巨量的代币。
攻击者的活动与损失
PeckShield表示,部分铸造的资金已经被兑换为43.78 ETH,价值约91,000美元,并已转移至以太坊。该事件仍在发展中,最终损失数字可能会随着更多交易的追踪而变化。
Blockaid指出,事件的根本原因可能是Stake DAO部署者私钥的泄露。该公司表示,攻击者利用这一访问权限重新配置了vsdCRV代币合约的LayerZero v2 OFT对等端。该更改显然将信任从合法的以太坊适配器重定向到了攻击者控制的恶意合约。
攻击者随后发送了一条伪造的跨链消息,触发了大约5.44万亿vsdCRV的铸造。BlockSec将此次攻击描述为攻击者似乎获得了部署者的私钥,并为vsdCRV设置了任意对等端。该公司表示,伪造的消息导致攻击者地址的无条件铸造。
DeFi中的特权访问风险
此次事件表明,特权访问仍然是DeFi中的重大风险。即使智能合约代码按预期工作,部署者私钥的泄露也可能使攻击者能够更改受信任的设置并引发损失。
Stake DAO的攻击事件发生在一系列近期DeFi事件之后。正如crypto.news之前报道的,OpenZeppelin的联合创始人Manuel Aráoz表示,他现在认为“整个DeFi都是不安全的”,并建议朋友和家人退出DeFi投资。
Aráoz认为,编码代理正在成为发现漏洞的强大工具,而防御者仍需在攻击者发现漏洞之前修复每一个弱点。他的评论是在DeFi协议在四月份因黑客攻击损失约6.297亿美元的背景下提出的。
另一方面,Wasabi Protocol在以太坊、Base、Berachain和Blast上损失超过500万美元,原因是一个被泄露的管理员密钥使攻击者能够升级合约并抽走资金。该事件与当前Stake DAO的担忧相似,因为这两个事件都涉及特权密钥访问,而不是简单的市场操纵事件。
跨链代币风险与安全总结
Stake DAO事件还指向跨链代币风险。安全报告跟踪了2026年涉及桥接、对等设置和跨链消息验证的重复攻击。BlockSec的五月安全总结列出了以太坊、Sui、BNB链、Base、Blast和Berachain等多个事件,损失总额约为1590万美元,持续两周。
其博客还将Wasabi列为一个关键泄露案例。在四月份,Kelp DAO遭遇了今年最大的DeFi攻击之一,攻击者从一个基于LayerZero的桥接中抽走了约2.92亿美元。这一漏洞引发了对超过20个网络的跨链资产支持的担忧。
