Инцидент с токеном vsdCRV на Stake DAO
Stake DAO сталкивается с продолжающейся эксплуатацией, связанной с его токеном vsdCRV на платформе Arbitrum. Блокчейн-безопасная компания Blockaid сообщила, что злоумышленник создал более 5,4 триллиона токенов vsdCRV и начал обменивать их на ETH. Stake DAO подтвердил, что осведомлен о ситуации и призвал пользователей не взаимодействовать с токеном vsdCRV.
«Мы осведомлены о текущей ситуации. Пожалуйста, не взаимодействуйте с vsdCRV или голосующими sdCRV, которые связаны с экосистемой Curve Finance и используются в продуктах доходности Stake DAO»
Это предупреждение появилось в то время, когда исследователи продолжали отслеживать действия злоумышленника на Arbitrum и Ethereum. Токен стал центром инцидента после того, как злоумышленник, как сообщается, получил достаточно контроля, чтобы создать огромный запас токенов. PeckShield сообщил, что часть созданных средств уже была обменена на 43,78 ETH, что составляет около 91 000 долларов, и переведена на Ethereum.
Причины инцидента
Инцидент остается развивающейся историей, и окончательные цифры потерь могут измениться по мере отслеживания дополнительных транзакций. Blockaid сообщил, что предполагаемой причиной инцидента является скомпрометированный закрытый ключ развертывателя Stake DAO. По данным компании, злоумышленник использовал этот доступ для перенастройки пира LayerZero v2 OFT для контракта токена vsdCRV.
Это изменение, как сообщается, перенаправило доверие от легитимного адаптера на стороне Ethereum к злонамеренному контракту, контролируемому злоумышленником. Затем злоумышленник отправил поддельное межсетевое сообщение, которое вызвало создание примерно 5,44 триллиона токенов vsdCRV.
BlockSec описал атаку как случай, когда злоумышленник, похоже, получил закрытый ключ развертывателя и установил произвольный пир для vsdCRV.
Компания сообщила, что поддельное сообщение затем вызвало безусловное создание токенов на адрес злоумышленника. Сообщается, что инцидент был использован через компрометацию ключа развертывателя, в результате чего было создано около 5,44 триллиона токенов vsdCRV для злоумышленника.
Риски в DeFi
Этот инцидент подчеркивает, как привилегированный доступ остается серьезным риском в DeFi. Даже когда код смарт-контракта работает как задумано, скомпрометированный ключ развертывателя может дать злоумышленникам возможность изменить доверенные настройки и вызвать потери. Эксплуатация Stake DAO следует за серией недавних инцидентов в DeFi.
Как ранее сообщалось, соучредитель OpenZeppelin Мануэль Араоз заявил, что теперь считает «все DeFi» небезопасным и посоветовал друзьям и семье выйти из позиций в DeFi. Араоз утверждал, что кодирующие агенты становятся мощными инструментами для поиска уязвимостей, в то время как защитники все еще должны исправить каждую слабость, прежде чем злоумышленники найдут одну.
Недавние инциденты в DeFi
Его комментарии прозвучали на фоне того, что протоколы DeFi потеряли около 629,7 миллиона долларов из-за взломов в апреле. Отдельно, Wasabi Protocol потерял более 5 миллионов долларов на Ethereum, Base, Berachain и Blast после того, как скомпрометированный административный ключ позволил злоумышленникам обновить контракты и вывести средства.
Этот случай напоминает текущую проблему Stake DAO, поскольку оба инцидента были связаны с привилегированным доступом к ключам, а не с простым событием манипуляции на рынке. Wasabi также предупредил пользователей не взаимодействовать с его контрактами, пока команда проводит расследование.
Риски токенов между цепями
Инцидент Stake DAO также указывает на риски токенов между цепями. Отчеты о безопасности отслеживали повторяющиеся атаки, связанные с мостами, настройками пиров и проверкой сообщений между цепями в 2026 году. Обзор безопасности BlockSec за май перечислил несколько инцидентов на Ethereum, Sui, BNB Chain, Base, Blast и Berachain, с общими потерями около 15,9 миллиона долларов за двухнедельный период.
Его блог также выделил Wasabi как случай компрометации ключа. В апреле Kelp DAO пострадал от одного из крупнейших взломов DeFi года, когда злоумышленники вывели около 292 миллионов долларов из моста, работающего на LayerZero. Нарушение вызвало опасения по поводу обеспечения активов между цепями более чем на 20 сетях.
