Incidente de Explotación en Stake DAO
Stake DAO se enfrenta a una explotación en curso relacionada con su token vsdCRV en Arbitrum. La firma de seguridad blockchain Blockaid informó que un atacante acuñó más de 5.4 billones de vsdCRV y comenzó a intercambiar los tokens por ETH. Stake DAO confirmó que estaba al tanto de la situación y pidió a los usuarios que no interactuaran con vsdCRV.
«Estamos al tanto de la situación en curso. Por favor, no interactúen con vsdCRV», comunicó la plataforma.
El token vsdCRV, impulsado por votos, está vinculado al ecosistema de Curve Finance y se utiliza dentro de los productos de rendimiento de Stake DAO. El token se convirtió en el centro del incidente después de que el atacante supuestamente obtuviera suficiente control para acuñar un suministro enorme.
Detalles del Ataque
PeckShield informó que parte de los fondos acuñados ya se habían intercambiado por 43.78 ETH, lo que equivale a aproximadamente $91,000, y se habían transferido a Ethereum. El incidente sigue siendo una historia en desarrollo, y las cifras finales de pérdidas pueden cambiar a medida que se rastreen más transacciones.
Blockaid indicó que la causa raíz sospechada era una clave privada del desplegador de Stake DAO comprometida. Según la firma, el atacante utilizó ese acceso para reconfigurar el par OFT de LayerZero v2 para el contrato del token vsdCRV. Ese cambio supuestamente redirigió la confianza del adaptador legítimo del lado de Ethereum a un contrato malicioso controlado por el atacante.
Luego, el atacante envió un mensaje cruzado falsificado que desencadenó la acuñación de aproximadamente 5.44 billones de vsdCRV. BlockSec describió el ataque como un caso en el que el atacante parecía haber obtenido la clave privada del desplegador y estableció un par arbitrario para vsdCRV. La firma señaló que el mensaje falsificado causó una acuñación incondicional a la dirección del atacante.
Riesgos en el Ecosistema DeFi
Este incidente pone de manifiesto cómo el acceso privilegiado sigue siendo un gran riesgo en DeFi. Incluso cuando el código del contrato inteligente funciona como se diseñó, una clave de desplegador comprometida puede dar a los atacantes la capacidad de cambiar configuraciones de confianza y desencadenar pérdidas.
La explotación de Stake DAO sigue a una serie de incidentes recientes en DeFi. Como se informó anteriormente por crypto.news, el cofundador de OpenZeppelin, Manuel Aráoz, expresó que ahora considera «toda DeFi» insegura y ha aconsejado a amigos y familiares que se retiren de las posiciones en DeFi. Aráoz argumentó que los agentes de codificación se están convirtiendo en herramientas poderosas para encontrar vulnerabilidades, mientras que los defensores aún necesitan arreglar cada debilidad antes de que los atacantes las descubran.
Sus comentarios llegaron en un momento en que los protocolos DeFi perdieron alrededor de $629.7 millones por hacks en abril. Por separado, Wasabi Protocol perdió más de $5 millones en Ethereum, Base, Berachain y Blast después de que una clave de administrador comprometida permitió a los atacantes actualizar contratos y drenar fondos.
Conclusiones y Advertencias
El incidente de Stake DAO también señala los riesgos de los tokens cruzados. Los informes de seguridad han rastreado ataques repetidos que involucran puentes, configuraciones de pares y validación de mensajes a través de cadenas en 2026. El resumen de seguridad de mayo de BlockSec enumeró múltiples incidentes en Ethereum, Sui, BNB Chain, Base, Blast y Berachain, con pérdidas totales de aproximadamente $15.9 millones en un período de dos semanas.
Su blog también identificó a Wasabi como un caso de compromiso de clave. En abril, Kelp DAO sufrió una de las mayores explotaciones de DeFi del año después de que los atacantes drenaran alrededor de $292 millones de un puente impulsado por LayerZero. La violación generó preocupaciones sobre el respaldo de activos cruzados en más de 20 redes.
