Stake DAO ist mit einem anhaltenden Exploit im Zusammenhang mit seinem vsdCRV-Token auf Arbitrum konfrontiert. Das Blockchain-Sicherheitsunternehmen Blockaid sagte, ein Angreifer habe mehr als 5,4 Billionen vsdCRV geprägt und damit begonnen, die Token gegen ETH einzutauschen.
Zusammenfassung
- Stake DAO warnte Benutzer davor, mit vsdCRV zu interagieren, da der Exploit weiterhin aktiv war.
- Sicherheitsforscher sagten, ein Angreifer habe auf Arbitrum etwa 5,4 Billionen vsdCRV geprägt, bevor er Gelder ausgetauscht habe.
- Die vermutete Ursache war ein kompromittierter Deployer-Schlüssel, der zum Ändern der LayerZero-Peer-Einstellungen verwendet wurde.
Stake DAO bestätigte, dass es sich der Situation bewusst war und forderte die Benutzer auf, nicht mit vsdCRV zu interagieren. Die Warnung des Projekts kam, als Forscher die Aktivitäten des Angreifers weiterhin in Arbitrum und Ethereum verfolgten.
vsdCRV oder vote-boosted sdCRV ist an das Curve Finance-Ökosystem gebunden und wird in den Renditeprodukten von Stake DAO verwendet. Der Token wurde zum Mittelpunkt des Vorfalls, nachdem der Angreifer angeblich genug Kontrolle erlangt hatte, um einen riesigen Vorrat zu prägen.
PeckShield sagte Ein Teil der geprägten Gelder war bereits gegen 43,78 ETH im Wert von rund 91.000 US-Dollar getauscht und an Ethereum überwiesen worden. Der Vorfall bleibt eine sich entwickelnde Geschichte, und die endgültigen Verlustzahlen können sich ändern, wenn weitere Transaktionen zurückverfolgt werden.
Forscher weisen auf eine Kompromittierung des Bereitstellungsschlüssels hin
Blockaid sagte, die vermutete Ursache sei ein kompromittierter privater Schlüssel des Stake DAO-Deployers. Nach Nach Angaben des Unternehmens nutzte der Angreifer diesen Zugriff, um den LayerZero v2 OFT-Peer für den vsdCRV-Token-Vertrag neu zu konfigurieren.
Durch diese Änderung wurde angeblich das Vertrauen vom legitimen Ethereum-seitigen Adapter auf einen böswilligen Vertrag umgeleitet, der vom Angreifer kontrolliert wird. Anschließend schickte der Angreifer eine gefälschte Cross-Chain-Nachricht, die die Prägung von etwa 5,44 Billionen vsdCRV auslöste.
BlockSec beschrieb den Angriff als einen Fall, bei dem der Angreifer scheinbar an den privaten Schlüssel des Bereitstellers gelangte und einen beliebigen Peer für vsdCRV festlegte. Die Firma sagte, die gefälschte Nachricht habe dann dazu geführt, dass die Adresse des Angreifers bedingungslos prägt wurde.
Der Vorfall zeigt, dass der privilegierte Zugriff weiterhin ein großes Risiko bei DeFi darstellt. Selbst wenn der Smart-Contract-Code wie vorgesehen funktioniert, kann ein kompromittierter Deployer-Schlüssel Angreifern die Möglichkeit geben, vertrauenswürdige Einstellungen zu ändern und Verluste auszulösen.
Die Bedenken hinsichtlich der DeFi-Sicherheit nehmen zu
Der Stake DAO-Exploit folgt auf eine Reihe aktueller DeFi-Vorfälle. Wie zuvor gemeldet Von crypto.news sagte OpenZeppelin-Mitbegründer Manuel Aráoz, dass er nun „das gesamte DeFi“ für unsicher halte und Freunden und Familie geraten habe, DeFi-Positionen aufzugeben.
Aráoz argumentierte, dass Codierungsagenten zu starken Werkzeugen zum Auffinden von Schwachstellen werden, während Verteidiger immer noch jede Schwachstelle beheben müssen, bevor Angreifer eine finden. Seine Kommentare kamen, als DeFi-Protokolle im April durch Hacks etwa 629,7 Millionen US-Dollar verloren.
Separat, Wasabi-Protokoll verlor mehr als 5 Millionen Dollar über Ethereum, Base, Berachain und Blast hinweg, nachdem ein kompromittierter Admin-Schlüssel es Angreifern ermöglichte, Verträge zu aktualisieren und Gelder abzuschöpfen.
Dieser Fall ähnelt dem aktuellen Stake DAO-Problem, da es sich bei beiden Vorfällen um einen privilegierten Schlüsselzugriff handelte und nicht um eine einfache Marktmanipulation. Wasabi warnte die Benutzer außerdem davor, mit seinen Verträgen zu interagieren, während das Team die Ermittlungen durchführte.
Kettenübergreifende Risiken bleiben im Fokus
Der Stake DAO-Vorfall weist auch auf kettenübergreifende Token-Risiken hin. Sicherheitsberichte haben im Jahr 2026 wiederholte Angriffe mit Bridges, Peer-Einstellungen und Nachrichtenvalidierung über Ketten hinweg verfolgt.
BlockSecs Sicherheitszusammenfassung vom Mai aufgeführt Mehrere Vorfälle bei Ethereum, Sui, BNB Chain, Base, Blast und Berachain mit Gesamtverlusten von etwa 15,9 Millionen US-Dollar über einen Zeitraum von zwei Wochen. Sein Blog identifizierte Wasabi auch als einen wichtigen Kompromissfall.
Im April Kelp DAO gelitten einer der größten DeFi-Exploits des Jahres, nachdem Angreifer etwa 292 Millionen US-Dollar von einer LayerZero-basierten Bridge abgezogen hatten. Der Verstoß gab Anlass zu Bedenken hinsichtlich der kettenübergreifenden Vermögenssicherung in mehr als 20 Netzwerken.
