Stake DAO의 vsdCRV 토큰 공격
Stake DAO는 Arbitrum에서 vsdCRV 토큰과 관련된 지속적인 공격에 직면하고 있습니다. 블록체인 보안 회사 Blockaid에 따르면, 공격자는 5.4조 개 이상의 vsdCRV를 발행하고 이 토큰을 ETH로 교환하기 시작했습니다. Stake DAO는 상황을 인지하고 있으며 사용자에게 vsdCRV와의 상호작용을 자제할 것을 당부했습니다.
“현재 진행 중인 상황을 인지하고 있습니다.”
vsdCRV와 투표 강화된 sdCRV는 Curve Finance 생태계와 연결되어 있으며 Stake DAO의 수익 제품 내에서 사용됩니다. 이 토큰은 공격자가 막대한 공급량을 발행할 수 있는 충분한 통제를 얻은 후 사건의 중심이 되었습니다. PeckShield는 발행된 자금의 일부가 이미 43.78 ETH, 약 91,000 달러에 해당하는 금액으로 교환되었고 Ethereum으로 브리징되었다고 밝혔습니다. 이 사건은 여전히 진행 중이며, 더 많은 거래가 추적됨에 따라 최종 손실 수치가 변경될 수 있습니다.
공격의 원인과 영향
Blockaid는 의심되는 근본 원인이 Stake DAO 배포자의 개인 키가 손상된 것이라고 밝혔습니다. 이 회사에 따르면, 공격자는 해당 접근을 사용하여 vsdCRV 토큰 계약을 위한 LayerZero v2 OFT 피어를 재구성했습니다. 그 변경은 합법적인 Ethereum 측 어댑터에서 공격자가 제어하는 악성 계약으로 신뢰를 전환했다고 합니다.
공격자는 이후 위조된 크로스 체인 메시지를 보내 약 5.44조 개의 vsdCRV 발행을 촉발했습니다. BlockSec은 이 공격을 공격자가 배포자의 개인 키를 얻고 vsdCRV에 대해 임의의 피어를 설정한 사례로 설명했습니다. 이 회사는 위조된 메시지가 공격자의 주소로 무조건적인 발행을 초래했다고 밝혔습니다.
“이 사건은 DeFi에서 특권 접근이 여전히 주요 위험 요소임을 보여줍니다.”
스마트 계약 코드가 설계대로 작동하더라도, 손상된 배포자 키는 공격자에게 신뢰 설정을 변경하고 손실을 유발할 수 있는 능력을 부여할 수 있습니다. Stake DAO의 공격은 최근 DeFi 사건의 연속을 따릅니다.
DeFi의 안전성에 대한 우려
crypto.news에 따르면, OpenZeppelin 공동 창립자 Manuel Aráoz는 이제 “모든 DeFi”가 안전하지 않다고 생각하며 친구와 가족에게 DeFi 포지션에서 나가라고 조언했습니다. Aráoz는 코딩 에이전트가 취약점을 찾는 강력한 도구가 되고 있으며, 방어자는 공격자가 하나를 찾기 전에 모든 약점을 수정해야 한다고 주장했습니다.
그의 발언은 DeFi 프로토콜이 4월에 해킹으로 약 6억 2970만 달러를 잃은 가운데 나왔습니다. 별도로, Wasabi Protocol은 손상된 관리자 키로 인해 공격자들이 계약을 업그레이드하고 자금을 빼내면서 Ethereum, Base, Berachain, Blast에서 500만 달러 이상을 잃었습니다. 이 사건은 두 사건 모두 특권 키 접근과 관련이 있다는 점에서 현재 Stake DAO의 우려와 유사합니다.
Wasabi는 팀이 조사하는 동안 사용자에게 계약과 상호작용하지 말 것을 경고했습니다. Stake DAO 사건은 또한 크로스 체인 토큰 위험을 다시 지적합니다.
크로스 체인 공격의 증가
보안 보고서는 2026년 동안 체인 간의 브리지, 피어 설정 및 메시지 검증과 관련된 반복적인 공격을 추적했습니다. BlockSec의 5월 보안 요약에서는 Ethereum, Sui, BNB Chain, Base, Blast 및 Berachain 전역에서 여러 사건이 발생했으며, 2주 동안 총 손실이 약 1590만 달러에 달했습니다. 블로그에서는 Wasabi를 주요 키 손상 사례로 식별했습니다.
4월에는 Kelp DAO가 LayerZero 기반 브리지에서 약 2억 9200만 달러를 빼앗긴 올해 가장 큰 DeFi 공격 중 하나를 겪었습니다. 이 침해 사건은 20개 이상의 네트워크에서 크로스 체인 자산 지원에 대한 우려를 불러일으켰습니다.
