Insidente sa Stake DAO
Ang Stake DAO ay nahaharap sa isang seryosong pagsasamantala na konektado sa kanyang vsdCRV token sa Arbitrum. Ayon sa blockchain security firm na Blockaid, isang umaatake ang nagmint ng higit sa 5.4 trilyong vsdCRV at nagsimulang ipagpalit ang mga token na ito para sa ETH. Kinumpirma ng Stake DAO na alam nila ang sitwasyon at pinayuhan ang mga gumagamit na huwag makipag-ugnayan sa vsdCRV. Ang babala ng proyekto ay lumabas habang patuloy na sinusubaybayan ng mga mananaliksik ang aktibidad ng umaatake sa Arbitrum at Ethereum.
Kahalagahan ng vsdCRV
Ang vsdCRV, na konektado sa Curve Finance ecosystem, ay ginagamit sa mga yield products ng Stake DAO. Ang token na ito ay naging sentro ng insidente matapos ang umaatake ay diumano’y nagkaroon ng sapat na kontrol upang magmint ng malaking suplay. Ayon sa PeckShield, bahagi ng mga minted na pondo ay naipagpalit na para sa 43.78 ETH, na nagkakahalaga ng humigit-kumulang $91,000, at na-bridge sa Ethereum. Ang insidente ay patuloy na umuunlad, at ang mga huling bilang ng pagkawala ay maaaring magbago habang mas maraming transaksyon ang nasusubaybayan.
Sanhi ng Insidente
Sinabi ng Blockaid na ang pinaghihinalaang sanhi ng insidente ay isang nakompromisong private key ng Stake DAO deployer. Ginamit ng umaatake ang access na iyon upang muling i-configure ang LayerZero v2 OFT peer para sa vsdCRV token contract. Ang pagbabagong ito ay nag-redirect ng tiwala mula sa lehitimong Ethereum-side adapter patungo sa isang mapanlinlang na kontrata na kontrolado ng umaatake. Pagkatapos, nagpadala ang umaatake ng isang pekeng cross-chain message na nag-trigger ng pagmint ng humigit-kumulang 5.44 trilyong vsdCRV.
Paglalarawan ng Pag-atake
Inilarawan ng BlockSec ang pag-atake bilang isang kaso kung saan ang umaatake ay tila nakakuha ng private key ng deployer at nagtakda ng arbitrary peer para sa vsdCRV. Ang pekeng mensahe ay nagdulot ng walang kondisyong pagmint sa address ng umaatake. Ang insidente ay naiulat na na-exploit sa pamamagitan ng isang kompromisadong deployer key, na nagresulta sa ~5.44T $vsdCRV na na-mint sa umaatake. Ang insidente ay nagpapakita kung paano ang pribilehiyadong access ay nananatiling isang pangunahing panganib sa DeFi.
Kahalagahan ng Seguridad sa DeFi
Kahit na ang code ng smart contract ay gumagana ayon sa disenyo, ang isang nakompromisadong deployer key ay maaaring bigyan ang mga umaatake ng kakayahang baguhin ang mga pinagkakatiwalaang setting at mag-trigger ng mga pagkalugi. Ang pagsasamantala sa Stake DAO ay sumusunod sa isang serye ng mga kamakailang insidente sa DeFi. Tulad ng naunang iniulat ng crypto.news, sinabi ng co-founder ng OpenZeppelin na si Manuel Aráoz na itinuturing na niyang “lahat ng DeFi” na hindi ligtas at pinayuhan ang mga kaibigan at pamilya na umalis sa mga posisyon sa DeFi.
Mga Kaugnay na Insidente
Argumento ni Aráoz na ang mga coding agents ay nagiging malalakas na tool para sa paghahanap ng mga kahinaan, habang ang mga tagapagtanggol ay kailangang ayusin ang bawat kahinaan bago ito matuklasan ng mga umaatake. Ang kanyang mga komento ay dumating habang ang mga protocol ng DeFi ay nawalan ng humigit-kumulang $629.7 milyon sa mga hack noong Abril. Hiwa-hiwalay, ang Wasabi Protocol ay nawalan ng higit sa $5 milyon sa Ethereum, Base, Berachain, at Blast matapos ang isang nakompromisadong admin key ay pinahintulutan ang mga umaatake na i-upgrade ang mga kontrata at ubusin ang mga pondo.
Pagbabala at Panganib ng Cross-Chain Tokens
Ang kasong iyon ay kahawig ng kasalukuyang alalahanin sa Stake DAO dahil ang parehong insidente ay kinasasangkutan ng pribilehiyadong access sa key sa halip na isang simpleng kaganapan ng manipulasyon sa merkado. Nagbabala rin ang Wasabi sa mga gumagamit na huwag makipag-ugnayan sa mga kontrata nito habang ang koponan ay nagsasagawa ng imbestigasyon.
Ang insidente sa Stake DAO ay tumutukoy din sa mga panganib ng cross-chain token. Ang mga ulat sa seguridad ay nag-track ng mga paulit-ulit na pag-atake na kinasasangkutan ng mga tulay, peer settings, at pag-validate ng mensahe sa mga chain noong 2026. Ang Mayo security roundup ng BlockSec ay naglista ng maraming insidente sa Ethereum, Sui, BNB Chain, Base, Blast, at Berachain, na may kabuuang pagkalugi na humigit-kumulang $15.9 milyon sa loob ng dalawang linggong panahon.
Nakilala rin ng kanilang blog ang Wasabi bilang isang kaso ng key-compromise. Noong Abril, ang Kelp DAO ay nakaranas ng isa sa pinakamalaking DeFi exploits ng taon matapos ang mga umaatake ay ubusin ang humigit-kumulang $292 milyon mula sa isang LayerZero-powered bridge. Ang paglabag na ito ay nagdulot ng mga alalahanin tungkol sa cross-chain asset backing sa higit sa 20 network.
