Stake DAO sufre un exploit cuando un atacante acuña 5,4 billones de vsdCRV en Arbitrum

Un atacante explotó Stake DAO en Arbitrum, acuñando 5,4 billones de tokens vsdCRV después de comprometer la clave privada del deployer del protocolo.

"La causa raíz sospechosa es una clave privada de deployer de Stake DAO comprometida, que permitió al atacante establecer un par arbitrario para vsdCRV y forjar un mensaje malicioso que desencadenó una acuñación incondicional", dijo BlockSec en X.

El atacante acuñó exactamente 5.446.744.073.709,551615 vsdCRV a través de una llamada de Executor de LayerZero v2 el 27 de mayo a las 09:17:58 UTC, según datos de Arbiscan. PeckShield reportó que 43,78 ETH, valorados en aproximadamente $91,000, han sido intercambiados hasta ahora y puenteados a Ethereum. vsdCRV es un wrapper potenciado por voto alrededor de sdCRV, el token de liquid locker de Stake DAO utilizado en el ecosistema de gobernanza de Curve Finance.

El exploit se suma a un período brutal para la seguridad de DeFi: más de $600 millones se han perdido en docenas de hacks desde abril, liderados por el exploit de $293 millones en Kelp DAO vinculado al Grupo Lazarus de Corea del Norte. No se ha publicado ningún postmortem verificado ni una estimación final de pérdidas por parte de Stake DAO, y el exploit parece estar en curso.

La distinción entre un compromiso de clave y un bug de contrato inteligente es importante para las perspectivas de recuperación. Las vulnerabilidades de contratos inteligentes pueden parchearse. Una clave privada comprometida significa que el atacante obtuvo control sobre la autoridad crítica de acuñación —en este caso, la wallet deployer de vsdCRV en Arbitrum— sin salvaguardas suficientes como multisig o protecciones de timelock.

El incidente también plantea nuevas preguntas sobre la seguridad entre cadenas. Stake DAO utiliza LayerZero para el movimiento de tokens entre redes. Si bien LayerZero en sí no se vio comprometido, la capacidad de acuñar suministro sin respaldo en una cadena de destino resalta los riesgos inherentes a las arquitecturas de tokens basadas en puentes. El exploit de Kelp DAO en abril explotó de manera similar un paquete falsificado de LayerZero para desbloquear rsETH entre cadenas.

Los pools de liquidez que contienen sdCRV o vsdCRV enfrentan posibles desequilibrios a medida que el atacante continúa descargando suministro inflado. Los tenedores de sdCRV deben evaluar si el respaldo subyacente de CRV permanece intacto. Los competidores en las Curve Wars, particularmente Convex Finance, podrían beneficiarse de una huida hacia la seguridad si la confianza de los usuarios en Stake DAO se erosiona.

Este artículo es solo con fines informativos y no constituye asesoramiento de inversión.