Points clés à retenir :
Un attaquant a exploité Stake DAO sur Arbitrum, frappant 5,4 billions de tokens vsdCRV après avoir compromis la clé privée du déploiement du protocole.
« La cause suspectée est une clé privée de déploiement de Stake DAO compromise, qui a permis à l'attaquant de définir un pair arbitraire pour vsdCRV et de forger un message malveillant déclenchant un frappage inconditionnel », a déclaré BlockSec sur X.
L'attaquant a frappé exactement 5 446 744 073 709,551615 vsdCRV via un appel Executor LayerZero v2 le 27 mai à 09:17:58 UTC, selon les données d'Arbiscan. PeckShield a rapporté que 43,78 ETH, d'une valeur d'environ 91 000 $, ont été échangés jusqu'à présent et pontés vers Ethereum. Le vsdCRV est un wrapper boosté par les votes autour du sdCRV, le token de verrouillage liquide de Stake DAO utilisé dans l'écosystème de gouvernance de Curve Finance.
Cette exploitation s'ajoute à une période brutale pour la sécurité DeFi — plus de 600 millions de dollars ont été perdus à travers des dizaines de hacks depuis avril, menés par l'exploitation de Kelp DAO à hauteur de 293 millions de dollars liée au groupe Lazarus de Corée du Nord. Aucun post-mortem vérifié ni estimation finale des pertes n'a été divulgué par Stake DAO, et l'exploitation semble toujours en cours.
La distinction entre une compromission de clé et un bug de contrat intelligent est importante pour les perspectives de récupération. Les vulnérabilités de contrats intelligents peuvent être corrigées. Une clé privée compromise signifie que l'attaquant a pris le contrôle de l'autorité critique de frappage — dans ce cas, le portefeuille de déploiement pour vsdCRV sur Arbitrum — sans garanties suffisantes telles que des protections multisig ou de temporisation.
L'incident soulève également de nouvelles questions sur la sécurité inter-chaînes. Stake DAO utilise LayerZero pour le mouvement des tokens entre réseaux. Bien que LayerZero elle-même n'ait pas été compromise, la capacité de frapper une offre non adossée sur une chaîne de destination met en évidence les risques inhérents aux architectures de tokens basées sur les ponts. L'exploitation de Kelp DAO en avril exploitait de manière similaire un paquet LayerZero falsifié pour déverrouiller du rsETH entre chaînes.
Les pools de liquidité contenant du sdCRV ou du vsdCRV font face à des déséquilibres potentiels alors que l'attaquant continue de déverser l'offre gonflée. Les détenteurs de sdCRV doivent évaluer si le sous-jacent CRV reste intact. Les concurrents dans les Curve Wars, en particulier Convex Finance, pourraient bénéficier d'une fuite vers la sécurité si la confiance des utilisateurs dans Stake DAO s'érode.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.
