关键要点:
- 攻击者利用被盗的部署者密钥在Arbitrum上铸造了5.4万亿枚vsdCRV代币
- 攻击者将部分供应兑换为43.78 ETH(价值9.1万美元)并将资金桥接至以太坊
- 尚未发布事后分析报告;Stake DAO敦促用户不要与vsdCRV交互
返回
Stake DAO遭攻击,攻击者在Arbitrum上铸造5.4万亿枚vsdCRV
一名攻击者利用Stake DAO在Arbitrum上的漏洞,在入侵该协议的部署者私钥后铸造了5.4万亿枚vsdCRV代币。
"怀疑的根本原因是Stake DAO的部署者私钥被泄露,这使得攻击者能够为vsdCRV设置任意对手方,并伪造恶意消息从而触发无条件的铸币操作,"BlockSec在X平台上表示。
根据Arbiscan数据,攻击者于UTC时间5月27日09:17:58通过LayerZero v2执行器调用,精确铸造了5,446,744,073,709.551615枚vsdCRV。PeckShield报告称,截至目前已有43.78 ETH(约合9.1万美元)被兑换并桥接至以太坊。vsdCRV是sdCRV的投票增强封装代币,后者是Stake DAO在Curve Finance治理生态系统中使用的流动性锁定代币。
此次攻击事件加剧了DeFi安全形势的严峻局面——自4月以来,数十起黑客攻击已导致超过6亿美元损失,其中最大的一起是与朝鲜Lazarus Group相关的2.93亿美元Kelp DAO攻击案。Stake DAO尚未发布经过验证的事后分析报告或最终损失估算,且攻击似乎仍在持续。
密钥泄露与智能合约漏洞之间的区别对于恢复前景至关重要。智能合约漏洞可以进行修补。而私钥被泄露意味着攻击者获得了关键的铸币权限——在本案中即vsdCRV在Arbitrum上的部署者钱包——且缺乏多重签名或时间锁等充分的安全保护措施。
此次事件也引发了关于跨链安全的新质疑。Stake DAO使用LayerZero进行跨网络代币转移。虽然LayerZero本身并未遭到入侵,但能够在目标链上铸造无抵押供应的能力凸显了基于桥接的代币架构所固有的风险。4月份的Kelp DAO攻击事件同样利用了伪造的LayerZero数据包来跨链解锁rsETH。
持有sdCRV或vsdCRV的流动性池面临潜在失衡,因为攻击者持续抛售膨胀后的供应。sdCRV持有者需要评估底层CRV抵押品是否仍然完好。Curve Wars中的竞争对手——尤其是Convex Finance——如果用户对Stake DAO的信心动摇,可能会从资金逃向安全资产中获益。
本文仅供参考,不构成投资建议。
