Stake DAO Exploit auf Arbitrum
Stake DAO sieht sich einem laufenden Exploit im Zusammenhang mit seinem vsdCRV-Token auf Arbitrum gegenüber. Die Blockchain-Sicherheitsfirma Blockaid berichtete, dass ein Angreifer mehr als 5,4 Billionen vsdCRV geprägt hat und begonnen hat, diese Tokens gegen ETH zu tauschen. Stake DAO bestätigte, dass man sich der Situation bewusst sei und forderte die Nutzer auf, nicht mit vsdCRV zu interagieren. Die Warnung des Projekts kam, während Forscher weiterhin die Aktivitäten des Angreifers auf Arbitrum und Ethereum verfolgten.
„Wir sind uns der laufenden Situation bewusst. Bitte interagieren Sie nicht mit vsdCRV oder dem stimmbasierten sdCRV, das mit dem Curve Finance-Ökosystem verbunden ist und innerhalb der Ertragsprodukte von Stake DAO verwendet wird,“ hieß es in einer Mitteilung.
Der Token wurde zum Mittelpunkt des Vorfalls, nachdem der Angreifer angeblich genügend Kontrolle erlangt hatte, um eine riesige Menge zu prägen.
Details des Angriffs
PeckShield berichtete, dass ein Teil der geprägten Mittel bereits gegen 43,78 ETH, im Wert von etwa 91.000 USD, getauscht und nach Ethereum transferiert wurde. Der Vorfall bleibt eine sich entwickelnde Geschichte, und die endgültigen Verlustzahlen können sich ändern, während weitere Transaktionen zurückverfolgt werden. Blockaid gab an, dass die vermutete Hauptursache ein kompromittierter privater Schlüssel des Stake DAO-Deployers war. Laut der Firma nutzte der Angreifer diesen Zugang, um den LayerZero v2 OFT-Peer für den vsdCRV-Tokenvertrag neu zu konfigurieren. Diese Änderung leitete angeblich das Vertrauen vom legitimen Ethereum-Seitenadapter zu einem bösartigen Vertrag, der vom Angreifer kontrolliert wurde.
Der Angreifer sendete dann eine gefälschte Cross-Chain-Nachricht, die die Prägung von etwa 5,44 Billionen vsdCRV auslöste. BlockSec beschrieb den Angriff als einen Fall, in dem der Angreifer anscheinend den privaten Schlüssel des Deployers erlangte und einen beliebigen Peer für vsdCRV festlegte. Die Firma erklärte, dass die gefälschte Nachricht dann eine bedingungslose Prägung an die Adresse des Angreifers verursachte.
Risiken im DeFi-Bereich
Der Vorfall zeigt, wie privilegierter Zugang ein großes Risiko im DeFi-Bereich bleibt. Selbst wenn der Code von Smart Contracts wie vorgesehen funktioniert, kann ein kompromittierter Deployer-Schlüssel Angreifern die Möglichkeit geben, vertrauenswürdige Einstellungen zu ändern und Verluste auszulösen.
Der Stake DAO-Exploit folgt einer Reihe von kürzlichen DeFi-Vorfällen. Wie zuvor von crypto.news berichtet, sagte der Mitbegründer von OpenZeppelin, Manuel Aráoz, dass er jetzt „alle DeFi“ als unsicher betrachtet und Freunden und Familie geraten hat, ihre DeFi-Positionen zu verlassen. Aráoz argumentierte, dass Codierungsagenten zu starken Werkzeugen werden, um Schwachstellen zu finden, während Verteidiger jede Schwäche beheben müssen, bevor Angreifer eine finden. Seine Kommentare kamen, als DeFi-Protokolle im April etwa 629,7 Millionen USD durch Hacks verloren.
Separat verlor das Wasabi-Protokoll mehr als 5 Millionen USD über Ethereum, Base, Berachain und Blast, nachdem ein kompromittierter Admin-Schlüssel es Angreifern ermöglichte, Verträge zu aktualisieren und Mittel abzuziehen. Dieser Fall ähnelt dem aktuellen Stake DAO-Problem, da beide Vorfälle privilegierten Schlüsselzugang und nicht einfach ein Marktmanipulationsereignis beinhalteten. Wasabi warnte auch die Nutzer, nicht mit seinen Verträgen zu interagieren, während das Team untersuchte.
Cross-Chain-Risiken
Der Stake DAO-Vorfall weist auch auf die Risiken von Cross-Chain-Token hin. Sicherheitsberichte haben wiederholte Angriffe verfolgt, die Brücken, Peer-Einstellungen und Nachrichtenvalidierung über Ketten hinweg im Jahr 2026 betrafen. BlockSecs Sicherheitsrückblick im Mai listete mehrere Vorfälle über Ethereum, Sui, BNB Chain, Base, Blast und Berachain auf, mit Gesamtschäden von etwa 15,9 Millionen USD über einen Zeitraum von zwei Wochen. Sein Blog identifizierte auch Wasabi als einen Fall von Schlüsselkompromittierung.
Im April erlitt Kelp DAO einen der größten DeFi-Exploits des Jahres, nachdem Angreifer etwa 292 Millionen USD von einer LayerZero-betriebenen Brücke abgezogen hatten. Der Vorfall weckte Bedenken hinsichtlich der Absicherung von Cross-Chain-Vermögenswerten über mehr als 20 Netzwerke.
