Cuộc Tấn Công Liên Quan Đến Token vsdCRV Trên Stake DAO
Stake DAO đang phải đối mặt với một cuộc tấn công liên quan đến token vsdCRV trên nền tảng Arbitrum. Công ty bảo mật blockchain Blockaid cho biết một kẻ tấn công đã tạo ra hơn 5,4 triệu tỷ vsdCRV và bắt đầu hoán đổi các token này lấy ETH. Stake DAO xác nhận rằng họ đã nắm bắt được tình hình và khuyến cáo người dùng không nên tương tác với vsdCRV.
“Chúng tôi nhận thức được tình hình đang diễn ra. Xin đừng tương tác với vsdCRV hoặc sdCRV được tăng cường bằng phiếu bầu, liên quan đến hệ sinh thái Curve Finance và được sử dụng trong các sản phẩm lợi suất của Stake DAO.”
Token này đã trở thành tâm điểm của sự cố sau khi kẻ tấn công được cho là đã có đủ quyền kiểm soát để tạo ra một nguồn cung khổng lồ. PeckShield cho biết một phần quỹ đã được tạo ra đã được hoán đổi lấy 43,78 ETH, trị giá khoảng 91.000 USD, và đã được chuyển sang Ethereum. Sự cố vẫn đang phát triển, và các con số thiệt hại cuối cùng có thể thay đổi khi nhiều giao dịch được truy vết.
Nguyên Nhân và Hệ Quả
Blockaid cho biết nguyên nhân gốc rễ bị nghi ngờ là do một khóa riêng của người triển khai Stake DAO bị xâm phạm. Theo công ty, kẻ tấn công đã sử dụng quyền truy cập đó để cấu hình lại peer LayerZero v2 OFT cho hợp đồng token vsdCRV. Thay đổi này được cho là đã chuyển hướng niềm tin từ bộ điều hợp hợp pháp bên Ethereum sang một hợp đồng độc hại do kẻ tấn công kiểm soát.
Kẻ tấn công sau đó đã gửi một thông điệp xuyên chuỗi giả mạo, kích hoạt việc tạo ra khoảng 5,44 triệu tỷ vsdCRV. BlockSec mô tả cuộc tấn công như một trường hợp mà kẻ tấn công dường như đã lấy được khóa riêng của người triển khai và thiết lập một peer tùy ý cho vsdCRV. Công ty cho biết thông điệp giả mạo sau đó đã gây ra việc tạo ra không điều kiện cho địa chỉ của kẻ tấn công.
Những Lo Ngại Về An Ninh Trong DeFi
Sự cố này được cho là đã bị khai thác thông qua việc xâm phạm khóa của người triển khai, dẫn đến việc khoảng 5,44 triệu tỷ vsdCRV được tạo ra cho kẻ tấn công. Cuộc tấn công Stake DAO diễn ra sau một loạt các sự cố DeFi gần đây. Như đã được báo cáo trước đó bởi crypto.news, đồng sáng lập OpenZeppelin, Manuel Aráoz, cho biết ông hiện coi “tất cả DeFi” là không an toàn và đã khuyên bạn bè và gia đình thoát khỏi các vị trí DeFi.
Aráoz lập luận rằng các tác nhân mã hóa đang trở thành công cụ mạnh mẽ để tìm kiếm các lỗ hổng, trong khi các nhà bảo vệ vẫn cần phải khắc phục mọi điểm yếu trước khi kẻ tấn công tìm thấy một. Những bình luận của ông được đưa ra khi các giao thức DeFi đã mất khoảng 629,7 triệu USD do các cuộc tấn công trong tháng Tư.
Riêng biệt, Wasabi Protocol đã mất hơn 5 triệu USD trên Ethereum, Base, Berachain và Blast sau khi một khóa quản trị bị xâm phạm cho phép kẻ tấn công nâng cấp các hợp đồng và rút tiền. Trường hợp này tương tự như mối quan tâm hiện tại của Stake DAO vì cả hai sự cố đều liên quan đến quyền truy cập khóa đặc quyền thay vì một sự kiện thao túng thị trường đơn giản.
Rủi Ro Của Token Xuyên Chuỗi
Sự cố Stake DAO cũng chỉ ra các rủi ro của token xuyên chuỗi. Các báo cáo bảo mật đã theo dõi các cuộc tấn công lặp đi lặp lại liên quan đến cầu nối, cài đặt peer và xác thực thông điệp trên các chuỗi trong năm 2026. Tổng hợp bảo mật tháng Năm của BlockSec đã liệt kê nhiều sự cố trên Ethereum, Sui, BNB Chain, Base, Blast và Berachain, với tổng thiệt hại khoảng 15,9 triệu USD trong vòng hai tuần.
Blog của họ cũng đã xác định Wasabi là một trường hợp xâm phạm khóa. Vào tháng Tư, Kelp DAO đã chịu một trong những cuộc tấn công DeFi lớn nhất trong năm sau khi kẻ tấn công rút khoảng 292 triệu USD từ một cầu nối được hỗ trợ bởi LayerZero. Sự vi phạm này đã dấy lên lo ngại về việc bảo đảm tài sản xuyên chuỗi trên hơn 20 mạng lưới.
