Exploitation de Stake DAO
Stake DAO fait face à une exploitation en cours liée à son token vsdCRV sur Arbitrum. La société de sécurité blockchain Blockaid a déclaré qu’un attaquant avait minté plus de 5,4 trillions de vsdCRV et avait commencé à échanger ces tokens contre de l’ETH. Stake DAO a confirmé qu’elle était au courant de la situation et a conseillé aux utilisateurs de ne pas interagir avec vsdCRV.
« Nous sommes conscients de la situation en cours. Veuillez ne pas interagir avec vsdCRV ou sdCRV boosté par vote, qui est lié à l’écosystème Curve Finance et utilisé dans les produits de rendement de Stake DAO. »
Le token est devenu le centre de l’incident après que l’attaquant a acquis suffisamment de contrôle pour minté une quantité énorme. PeckShield a déclaré qu’une partie des fonds mintés avait déjà été échangée contre 43,78 ETH, d’une valeur d’environ 91 000 $, et transférée vers Ethereum. L’incident reste une histoire en développement, et les chiffres de perte finale peuvent changer à mesure que plus de transactions sont retracées.
Causes et Méthodes de l’Attaque
Blockaid a déclaré que la cause racine suspectée était une clé privée de déployeur de Stake DAO compromise. Selon la société, l’attaquant a utilisé cet accès pour reconfigurer le pair LayerZero v2 OFT pour le contrat de token vsdCRV. Ce changement aurait redirigé la confiance de l’adaptateur légitime côté Ethereum vers un contrat malveillant contrôlé par l’attaquant.
L’attaquant a ensuite envoyé un message cross-chain falsifié qui a déclenché le minting d’environ 5,44 trillions de vsdCRV. BlockSec a décrit l’attaque comme un cas où l’attaquant semblait avoir obtenu la clé privée du déployeur et a défini un pair arbitraire pour vsdCRV. La société a déclaré que le message falsifié avait ensuite causé un minting inconditionnel à l’adresse de l’attaquant.
Implications et Réactions
L’incident a été exploité via une compromission de clé de déployeur, entraînant environ 5,44 trillions de $vsdCRV mintés à l’attaquant. Cet incident illustre comment l’accès privilégié reste un risque majeur dans DeFi. Même lorsque le code des contrats intelligents fonctionne comme prévu, une clé de déployeur compromise peut donner aux attaquants la capacité de modifier les paramètres de confiance et de déclencher des pertes.
L’exploitation de Stake DAO fait suite à une série d’incidents récents dans DeFi. Comme l’a précédemment rapporté crypto.news, le co-fondateur d’OpenZeppelin, Manuel Aráoz, a déclaré qu’il considère désormais « toute la DeFi » comme non sécurisée et a conseillé à ses amis et à sa famille de sortir de leurs positions DeFi.
Aráoz a soutenu que les agents de codage deviennent de puissants outils pour trouver des vulnérabilités, tandis que les défenseurs doivent encore corriger chaque faiblesse avant que les attaquants n’en trouvent une. Ses commentaires sont intervenus alors que les protocoles DeFi avaient perdu environ 629,7 millions de dollars à cause de hacks en avril.
Incidents Similaires
Par ailleurs, Wasabi Protocol a perdu plus de 5 millions de dollars sur Ethereum, Base, Berachain et Blast après qu’une clé d’administrateur compromise a permis aux attaquants de mettre à jour des contrats et de vider des fonds. Ce cas ressemble à la préoccupation actuelle de Stake DAO, car les deux incidents impliquaient un accès privilégié à des clés plutôt qu’un simple événement de manipulation de marché.
L’incident de Stake DAO renvoie également aux risques liés aux tokens cross-chain. Des rapports de sécurité ont suivi des attaques répétées impliquant des ponts, des paramètres de pair et des validations de messages entre chaînes en 2026. Le récapitulatif de sécurité de mai de BlockSec a listé plusieurs incidents sur Ethereum, Sui, BNB Chain, Base, Blast et Berachain, avec des pertes totales d’environ 15,9 millions de dollars sur une période de deux semaines.
En avril, Kelp DAO a subi l’une des plus grandes exploitations DeFi de l’année après que des attaquants ont drainé environ 292 millions de dollars d’un pont alimenté par LayerZero. La violation a soulevé des inquiétudes concernant le soutien des actifs cross-chain sur plus de 20 réseaux.
