Ang Stake DAO, isang platform ng DeFi na nakatutok sa automated na estratehiya sa kita, ay nahaharap sa patuloy na exploit, ayon sa ulat ng maraming kumpanya ng seguridad ng blockchain noong Miyerkules.
Ang umaatake ay nag-mint ng mahigit 5.4 trilyong vsdCRV sa Arbitrum at aktibong ipinagpapalit ito para sa ETH, ayon sa Blockaid sa X. Sinabi ng PeckShield na, sa ngayon, ilan sa mga token ay naipagpalit na para sa 43.78 ETH ($91,000) at na-bridge sa Ethereum.
Ang vsdCRV, o vote-boosted sdCRV, ay isang yield-related derivative token na konektado sa Curve Finance ecosystem at ginagamit sa loob ng Stake DAO.
Sinabi ng Stake DAO na batid nila ang sitwasyon at hinikayat ang mga user na huwag makipag-ugnayan sa vsdCRV.
Ang pinaghihinalaang ugat ng problema ay isang nakompromisong pribadong key ng deployer ng Stake DAO, ayon sa mga mananaliksik.
"Mukhang nakuha ng umaatake ang pribadong key ng deployer at nagtakda ng arbitraryong peer para sa vsdCRV," paliwanag ng BlockSec. "Gamit ang peer na iyon, gumawa sila ng mapanlinlang na mensahe na nag-trigger ng walang kondisyong pag-mint ng humigit-kumulang 5.44T vsdCRV sa kanilang address."
Ang exploit na ito ay nagpapatuloy sa isa sa pinakamasamang panahon para sa mga exploit sa DeFi, na tila hinihimok ng mga pagsulong sa artificial intelligence, kung saan dose-dosenang mga protocol ang na-hack ng mahigit $600 milyon simula Abril, na pinangunahan ng $292 milyong exploit ng Kelp DAO. Noong Martes, sinabi ni Manuel Aráoz ng crypto security firm na OpenZeppelin na itinuturing niyang hindi ligtas ang "lahat ng DeFi," na binabanggit ang asymmetry sa pagitan ng mga umaatake at nagtatanggol.
Sinabi ni Shalev Keren, co-founder at CPO ng Sodot, sa The Block na ang exploit ng Stake DAO ay magkatulad sa istruktura sa insidente ng Wasabi noong nakaraang buwan at sa iba pang mga kompromiso sa deployer key ngayong taon.
"Ang deployer key ng Stake DAO sa Arbitrum ay ginamit upang muling ituro ang configuration ng vsdCRV cross-chain bridge sa isang kontratang kontrolado ng umaatake sa Ethereum, at humigit-kumulang dalawampu't limang segundo pagkatapos, ang kontratang iyon ay nagpadala ng mensahe ng LayerZero pabalik, na naging sanhi upang mag-mint ang lehitimong Arbitrum token ng mahigit limang trilyong vsdCRV sa umaatake, na ngayon ay ibinabagsak ito para sa ETH," sabi ni Keren. "Walang smart-contract bug dito, at walang depekto sa LayerZero, mayroong isang pribadong key, na kumokontrol sa isang pinagkaloobang function ng configuration, na walang multisig at walang pagkaantala sa pagitan ng pagbabago ng configuration na pumasok at ng paglilinis ng mint onchain."
Idinagdag ni Keren na ang insidente ay nagpapakita ng mas malawak na alalahanin tungkol sa seguridad sa operasyon at ang konsentrasyon ng pinagkaloobang pahintulot ng deployer na konektado sa na-audit na mga protocol ng DeFi.
Ito ay isang umuunlad na balita.
Disclaimer: Ang The Block ay isang independiyenteng media outlet na naghahatid ng balita, pananaliksik, at data. Simula Nobyembre 2023, ang Foresight Ventures ay isang mayoryang investor ng The Block. Ang Foresight Ventures ay namumuhunan sa iba pang kumpanya sa crypto space. Ang crypto exchange na Bitget ay isang anchor LP para sa Foresight Ventures. Ang The Block ay patuloy na nagpapatakbo nang independiyente upang maghatid ng layunin, may epekto, at napapanahong impormasyon tungkol sa industriya ng crypto. Narito ang aming kasalukuyang mga pagbubunyag ng pinansyal.
© 2026 The Block. Lahat ng Karapatan ay Nakalaan. Ang artikulong ito ay inilaan para sa layunin ng impormasyon lamang. Hindi ito inaalok o inilaan na gamitin bilang legal, buwis, pamumuhunan, pinansyal, o iba pang payo.
