Stake DAO近期在Arbitrum网络上遭遇严重安全事件,其发行的vsdCRV代币被攻击者大规模伪造。据区块链安全机构Blockaid披露,攻击者已成功生成超过5.4万亿枚虚假代币,并开始将其兑换为ETH,造成系统性信任危机。
针对该异常情况,Stake DAO官方已发布正式警示,明确要求所有用户暂停与vsdCRV相关的任何操作。目前攻击行为仍在进行,研究人员正实时监控其在Arbitrum及以太坊主网上的资金流转路径。初步调查显示,攻击者通过获取关键部署权限,在短时间内完成代币批量铸造并启动资产转移。
vsdCRV作为Curve生态关联的投票加速型衍生品,原用于Stake DAO的收益激励机制。此次事件中,攻击者利用权限漏洞,修改了vsdCRV合约在LayerZero v2 OFT协议中的对等关系设置。此举将原本绑定至合法以太坊桥接器的信任通道,替换为攻击者控制的恶意合约节点,从而触发无限制代币铸造。
PeckShield监测数据显示,已有部分资金被转换为约43.78枚ETH(估值约9.1万美元),并通过跨链通道转移至以太坊网络。随着追踪深入,实际损失金额或将进一步上升,当前尚处事件演进阶段。
Blockaid指出,根本原因极可能是负责维护vsdCRV合约的部署者私钥遭到泄露。攻击者借此权限重写LayerZero的对等配置,使恶意地址获得与主链间的双向通信权。一旦完成设置,攻击者即可发送伪造的跨链消息,诱导系统自动发行巨额代币。
BlockSec进一步分析称,此案例属于典型的“部署者权限滥用”——攻击者无需突破代码逻辑,仅凭高阶访问凭证即可绕过所有安全机制。即便合约本身未存在编码缺陷,仍可能因信任链被劫持而全面失效。
在Stake DAO事件之前,整个去中心化金融领域已接连爆发多起重大安全事故。OpenZeppelin联合创始人Manuel Aráoz公开表示,当前他认为“整个DeFi体系均不具备可信赖基础”,并建议亲友撤离相关投资。他强调,尽管漏洞检测工具日益先进,但防御方始终落后于攻击者的发现速度。数据显示,四月间因黑客攻击造成的总损失高达6.297亿美元。
此外,Wasabi Protocol亦在多个公链(以太坊、Base、Berachain、Blast)遭受逾500万美元损失,根源同样为管理员密钥泄露后升级合约并转移资产。该事件与Stake DAO高度相似,均属由内部权限失控引发的系统性破坏,而非外部市场操纵所致。
本次事件再度凸显跨链互操作性中的潜在风险。2026年安全趋势报告已多次记录涉及跨链桥、对等配置及消息验证环节的攻击模式。今年五月初,BlockSec发布的安全汇总指出,仅两周内,以太坊、Sui、BNB Chain、Base、Blast和Berachain等六条链共发生多起攻击,累计损失达1590万美元。
其中,Wasabi事件被列为密钥泄露典型案例。而更早前的Kelp DAO攻击案则创下年度最大规模纪录,攻击者通过基于LayerZero的跨链桥盗取约2.92亿美元,引发对超过20个网络支持机制的广泛质疑,暴露出跨链协议在信任锚点设计上的根本脆弱性。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.