Exploit di Stake DAO
Stake DAO sta affrontando un exploit in corso legato al suo token vsdCRV su Arbitrum. La società di sicurezza blockchain Blockaid ha dichiarato che un attaccante ha coniato oltre 5,4 trilioni di vsdCRV e ha iniziato a scambiare i token per ETH.
Avviso agli utenti
Stake DAO ha confermato di essere a conoscenza della situazione e ha avvisato gli utenti di non interagire con vsdCRV. L’avviso del progetto è arrivato mentre i ricercatori continuano a monitorare l’attività dell’attaccante su Arbitrum ed Ethereum.
“Siamo a conoscenza della situazione in corso. Si prega di non interagire con vsdCRV”
, ha dichiarato la società.
Dettagli dell’incidente
Il token vsdCRV, potenziato dal voto, è legato all’ecosistema di Curve Finance e viene utilizzato all’interno dei prodotti di rendimento di Stake DAO. L’incidente è emerso dopo che l’attaccante ha presumibilmente guadagnato un controllo sufficiente per coniare un’enorme fornitura di token. PeckShield ha riferito che parte dei fondi coniati era già stata scambiata per 43,78 ETH, del valore di circa 91.000 dollari, e trasferita su Ethereum.
Cause e conseguenze
L’incidente rimane una storia in evoluzione e le cifre finali delle perdite potrebbero cambiare man mano che vengono tracciate ulteriori transazioni. Blockaid ha indicato che la causa principale sospettata è una chiave privata del deployer di Stake DAO compromessa. Secondo la società, l’attaccante ha utilizzato quell’accesso per riconfigurare il peer LayerZero v2 OFT per il contratto del token vsdCRV. Questo cambiamento ha presumibilmente reindirizzato la fiducia dall’adattatore legittimo sul lato Ethereum a un contratto malevolo controllato dall’attaccante.
L’attaccante ha quindi inviato un messaggio cross-chain contraffatto che ha attivato il conio di circa 5,44 trilioni di vsdCRV. BlockSec ha descritto l’attacco come un caso in cui l’attaccante sembrava aver ottenuto la chiave privata del deployer e impostato un peer arbitrario per vsdCRV. La società ha affermato che il messaggio contraffatto ha quindi causato un conio incondizionato all’indirizzo dell’attaccante.
Rischi in DeFi
È stato riportato che l’attacco è stato possibile grazie alla compromissione della chiave del deployer, risultando in circa 5,44 trilioni di $vsdCRV coniati a favore dell’attaccante. L’incidente dimostra come l’accesso privilegiato rimanga un rischio significativo in DeFi. Anche quando il codice del contratto intelligente funziona come previsto, una chiave del deployer compromessa può dare agli attaccanti la possibilità di modificare impostazioni di fiducia e innescare perdite.
Commenti e incidenti recenti
L’exploit di Stake DAO segue una serie di recenti incidenti DeFi. Come riportato in precedenza da crypto.news, il co-fondatore di OpenZeppelin, Manuel Aráoz, ha dichiarato di considerare ora “tutta la DeFi” non sicura e ha consigliato a amici e familiari di uscire dalle posizioni DeFi. Aráoz ha sostenuto che gli agenti di codifica stanno diventando strumenti potenti per trovare vulnerabilità, mentre i difensori devono ancora risolvere ogni debolezza prima che gli attaccanti ne trovino una.
I suoi commenti sono arrivati mentre i protocolli DeFi hanno perso circa 629,7 milioni di dollari a causa di attacchi ad aprile. Separatamente, Wasabi Protocol ha perso più di 5 milioni di dollari su Ethereum, Base, Berachain e Blast dopo che una chiave di amministrazione compromessa ha permesso agli attaccanti di aggiornare i contratti e drenare i fondi.
Conclusioni
Questo caso assomiglia alla preoccupazione attuale di Stake DAO, poiché entrambi gli incidenti hanno coinvolto l’accesso a chiavi privilegiate piuttosto che un semplice evento di manipolazione del mercato. Wasabi ha anche avvisato gli utenti di non interagire con i suoi contratti mentre il team indagava. L’incidente di Stake DAO mette in evidenza anche i rischi dei token cross-chain.
I rapporti di sicurezza hanno tracciato attacchi ripetuti che coinvolgono ponti, impostazioni peer e convalida dei messaggi tra le catene nel 2026. Il riepilogo di sicurezza di BlockSec di maggio ha elencato più incidenti su Ethereum, Sui, BNB Chain, Base, Blast e Berachain, con perdite totali di circa 15,9 milioni di dollari in un periodo di due settimane. Il suo blog ha anche identificato Wasabi come un caso di compromissione della chiave. Ad aprile, Kelp DAO ha subito uno dei più grandi exploit DeFi dell’anno dopo che gli attaccanti hanno drenato circa 292 milioni di dollari da un ponte alimentato da LayerZero. La violazione ha sollevato preoccupazioni riguardo al supporto degli asset cross-chain su più di 20 reti.
