Stake DAOの脆弱性と進行中の状況
Stake DAOは、Arbitrum上のvsdCRVトークンに関連する進行中の脆弱性に直面しています。ブロックチェーンセキュリティ企業Blockaidによると、攻撃者は5.4兆以上のvsdCRVをミントし、トークンをETHに交換し始めました。Stake DAOはこの状況を把握しており、ユーザーに対してvsdCRVとの相互作用を避けるように警告しています。
攻撃の詳細と影響
このプロジェクトの警告は、研究者たちがArbitrumとEthereum全体で攻撃者の活動を追跡し続けている中で発表されました。私たちは進行中の状況を把握しています。vsdCRVや投票ブーストされたsdCRVはCurve Financeエコシステムに関連しており、Stake DAOの利回り商品内で使用されています。
PeckShieldによると、ミントされた資金の一部はすでに43.78 ETH(約91,000ドル相当)に交換され、Ethereumにブリッジされました。この事件は進行中のストーリーであり、さらなる取引が追跡されるにつれて最終的な損失額は変わる可能性があります。
攻撃のメカニズム
Blockaidは、疑わしい根本原因はStake DAOのデプロイヤープライベートキーの侵害であると述べています。同社によると、攻撃者はそのアクセスを利用してvsdCRVトークン契約のLayerZero v2 OFTピアを再構成しました。その変更により、正当なEthereum側アダプターから攻撃者が制御する悪意のある契約への信頼が転送されたとされています。
攻撃者はその後、約5.44兆のvsdCRVのミントを引き起こす偽造されたクロスチェーンメッセージを送信しました。BlockSecは、この攻撃を攻撃者がデプロイヤーのプライベートキーを取得し、vsdCRVのために任意のピアを設定したケースとして説明しました。
DeFiにおけるリスクと警告
この事件は、デプロイヤーキーの侵害を通じて悪用されたと報告されており、攻撃者に約5.44兆の$vsdCRVがミントされました。攻撃者はデプロイヤーのプライベートキーを取得し、$vsdCRVのために任意のピアを設定したようです。そのピアを使用して、彼らは悪意のあるメッセージを偽造しました。
この事件は、特権アクセスがDeFiにおける主要なリスクであることを示しています。スマートコントラクトコードが設計通りに機能していても、デプロイヤーキーが侵害されると、攻撃者は信頼された設定を変更し、損失を引き起こす能力を持つことができます。
最近のDeFi事件との関連
Stake DAOの脆弱性は、最近の一連のDeFi事件に続いています。crypto.newsによると、OpenZeppelinの共同創設者Manuel Aráozは、現在「すべてのDeFi」を安全でないと考えており、友人や家族にDeFiポジションからの撤退を勧めています。
Aráozは、コーディングエージェントが脆弱性を見つけるための強力なツールになっている一方で、防御者は攻撃者が見つける前にすべての弱点を修正する必要があると主張しました。彼のコメントは、DeFiプロトコルが4月に約6億2970万ドルをハッキングで失ったことを受けてのものでした。
別の事例として、Wasabi Protocolは、侵害された管理者キーにより攻撃者が契約をアップグレードし、資金を引き出すことを許可した結果、Ethereum、Base、Berachain、Blastで500万ドル以上を失いました。このケースは、両方の事件が単純な市場操作イベントではなく、特権キーアクセスを含んでいるため、現在のStake DAOの懸念に似ています。
クロスチェーントークンのリスク
Stake DAOの事件は、クロスチェーントークンのリスクにも言及しています。セキュリティレポートは、2026年におけるブリッジ、ピア設定、メッセージ検証に関する繰り返しの攻撃を追跡しています。BlockSecの5月のセキュリティまとめでは、Ethereum、Sui、BNB Chain、Base、Blast、Berachainにおける複数の事件がリストされ、2週間での総損失は約1590万ドルに達しました。
そのブログでは、Wasabiがキー侵害のケースとして特定されました。4月には、Kelp DAOがLayerZeroを利用したブリッジから約2億9200万ドルを引き出された、今年最大のDeFiの脆弱性の一つに見舞われました。この侵害は、20以上のネットワークにわたるクロスチェーン資産のバックアップに関する懸念を引き起こしました。
