摘要:Stake DAO平台在Arbitrum网络上遭遇严重安全事件,因部署者私钥泄露导致5.4万亿枚vsdCRV被恶意铸造并兑换为ETH。事件暴露了跨链协议中权限管理的深层风险,引发行业对特权访问控制的广泛反思。
币圈界报道:
Stake DAO遭遇大规模跨链攻击:巨额代币伪造与资金转移持续进行
Stake DAO近期在Arbitrum网络上的vsdCRV代币面临持续性攻击,区块链安全机构Blockaid监测到攻击者已生成超过5.4万亿枚该代币,并开始将其转换为以太坊原生资产。
用户交互被紧急叫停,攻击行为仍在蔓延
针对此次异常活动,Stake DAO已发布正式警示,明确建议所有用户暂停与vsdCRV相关的任何操作。安全团队指出,攻击者在Arbitrum链上完成海量代币铸造后迅速启动资金流转。初步调查指向用于调整LayerZero对等配置的部署者密钥存在泄露风险。
官方确认已介入监控,并重申当前环境高度危险,呼吁社区保持警惕。研究人员正同步追踪攻击者在Arbitrum及以太坊主网之间的资金动向,以便评估最终损失规模。
攻击路径揭示:核心信任机制被恶意篡改
vsdCRV作为Curve生态中的投票加速型衍生品,被广泛应用于Stake DAO的收益产品体系。本次事件中,攻击者凭借非法获取的权限,触发了代币供应量的非授权扩张。
PeckShield披露,已有部分资金经由跨链通道转化为约43.78枚ETH(估值约9.1万美元),并转入以太坊网络。由于交易链条尚未终止,实际损失金额可能随进一步追踪而上升。
根本原因锁定:部署密钥外泄引发信任链劫持
Blockaid分析认为,攻击源头在于Stake DAO部署者的私钥遭到泄露。攻击者利用该权限修改了vsdCRV合约的LayerZero v2 OFT对等设置,将原本绑定至合法以太坊适配器的信任关系,替换为由其控制的恶意合约地址。
随后,攻击者发送伪造的跨链消息,成功激活了无限制的代币铸造功能,从而生成约5.44万亿枚vsdCRV。BlockSec亦将此归类为典型的“部署者权限滥用”案例,指出攻击者通过设置任意对等方,获得了不受约束的代币发行权。
这一事件凸显出即便智能合约逻辑本身健全,一旦关键权限落入恶意之手,仍可能导致系统性崩溃。
DeFi生态安全危机加剧:多起事件集中爆发
在Stake DAO事件之前,去中心化金融领域已接连发生数起重大安全事故。OpenZeppelin联合创始人Manuel Aráoz公开表示,当前他认为整个DeFi体系均处于高风险状态,并已劝告亲友撤离相关投资。他强调,尽管漏洞检测工具日益强大,但防御方往往滞后于攻击者发现弱点的速度。
数据显示,四月份全球DeFi协议因黑客攻击共造成约6.297亿美元损失。此外,Wasabi Protocol在以太坊、Base、Berachain和Blast等多个链上遭受超500万美元损失,其根源同样是管理员密钥泄露后合约被升级并资金被转移。该事件与Stake DAO高度相似,均属权限滥用而非市场操纵。
跨链架构脆弱性再度暴露:信任模型面临挑战
Stake DAO事件再次将跨链机制的安全隐患推至风口浪尖。2026年发布的安全趋势报告已多次记录涉及跨链桥、对等关系配置及消息验证环节的攻击案例。
BlockSec五月初汇总的报告显示,仅两周内,以太坊、Sui、BNB Chain、Base、Blast及Berachain等链上就发生多起攻击,累计损失达1590万美元。其中,Wasabi事件被列为密钥泄露典型范例。
今年四月,Kelp DAO遭遇年度最大规模攻击之一,攻击者通过基于LayerZero的跨链桥窃取约2.92亿美元资金。该漏洞波及超过20个网络,引发对现有跨链资产支持机制稳定性的普遍质疑。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。