Stake DAO Exploatering och vsdCRV-token
Stake DAO står inför en pågående exploatering kopplad till sin vsdCRV-token på Arbitrum. Blockchain-säkerhetsföretaget Blockaid har meddelat att en angripare präglade mer än 5,4 biljoner vsdCRV och började byta dessa tokens mot ETH. Stake DAO bekräftade att de är medvetna om situationen och uppmanade användarna att inte interagera med vsdCRV.
”Vi är medvetna om den pågående situationen. Vänligen interagera inte med vsdCRV eller röstförstärkt sdCRV, som är kopplad till Curve Finance-ekosystemet och används inom Stake DAOs avkastningsprodukter.”
Token blev centrum för incidenten efter att angriparen påstås ha fått tillräcklig kontroll för att prägla en enorm mängd. PeckShield rapporterade att en del av de präglade medlen redan hade bytts mot 43,78 ETH, värt cirka 91 000 dollar, och överförts till Ethereum. Incidenten är fortfarande under utredning, och de slutliga förlustsiffrorna kan förändras när fler transaktioner spåras.
Angriparens Metoder och Risker
Blockaid angav att den misstänkta grundorsaken var en komprometterad privat nyckel för Stake DAOs deployer. Enligt företaget använde angriparen den åtkomsten för att omkonfigurera LayerZero v2 OFT-peer för vsdCRV-tokenkontraktet. Den förändringen påstås ha omdirigerat förtroendet från den legitima Ethereum-sidan adapter till ett skadligt kontrakt kontrollerat av angriparen.
Angriparen skickade sedan ett förfalskat meddelande över kedjan som utlöste präglingsprocessen av cirka 5,44 biljoner vsdCRV. BlockSec beskrev attacken som ett fall där angriparen verkade ha fått tillgång till deployerns privata nyckel och ställt in en godtycklig peer för vsdCRV. Företaget sa att det förfalskade meddelandet sedan orsakade en oinskränkt präglingsprocess till angriparens adress.
Konsekvenser och Branschreaktioner
Incidenten visar hur privilegerad åtkomst fortfarande utgör en stor risk inom DeFi. Även när smart kontraktskod fungerar som avsett kan en komprometterad deployer-nyckel ge angripare möjlighet att ändra betrodda inställningar och utlösa förluster. Stake DAO-exploateringen följer en serie nyligen inträffade DeFi-incidenter.
Som tidigare rapporterats av crypto.news, sa OpenZeppelin medgrundare Manuel Aráoz att han nu anser ”att hela DeFi” är osäkert och har rådfrågat vänner och familj att lämna sina DeFi-positioner. Aráoz hävdade att kodningsagenter blir starka verktyg för att hitta sårbarheter, medan försvarare fortfarande måste åtgärda varje svaghet innan angripare hittar en.
Hans kommentarer kom när DeFi-protokoll förlorade cirka 629,7 miljoner dollar till hack i april. Separat förlorade Wasabi Protocol mer än 5 miljoner dollar över Ethereum, Base, Berachain och Blast efter att en komprometterad administratörsnyckel tillät angripare att uppgradera kontrakt och tömma medel. Det fallet liknar den nuvarande Stake DAO-oron eftersom båda incidenterna involverade privilegerad nyckelåtkomst snarare än en enkel marknadsmanipulationshändelse.
Risker med Cross-Chain Token
Stake DAO-incidenten pekar också tillbaka på riskerna med cross-chain-token. Säkerhetsrapporter har spårat upprepade attacker som involverar broar, peer-inställningar och meddelandeverifiering över kedjor under 2026. BlockSecs säkerhetsöversikt från maj listade flera incidenter över Ethereum, Sui, BNB Chain, Base, Blast och Berachain, med totala förluster på cirka 15,9 miljoner dollar under en tvåveckorsperiod.
Denna incident väckte oro över cross-chain tillgångsbackning över mer än 20 nätverk.
