重點摘要:
- 攻擊者利用遭洩露的部署者金鑰,在Arbitrum上鑄造了5.4兆枚vsdCRV代幣
- 攻擊者將部分供應量兌換為43.78枚ETH(約9.1萬美元),並將資金橋接至以太坊
- 尚未發布事後分析報告;Stake DAO呼籲用戶不要與vsdCRV互動
返回
Stake DAO遭攻擊,攻擊者在Arbitrum上鑄造5.4兆枚vsdCRV
一名攻擊者利用Stake DAO在Arbitrum上的漏洞,在入侵該協議的部署者私鑰後,鑄造了5.4兆枚vsdCRV代幣。
BlockSec在X平台上表示:「懷疑根本原因是Stake DAO部署者私鑰遭到洩露,使攻擊者能夠為vsdCRV設定任意對應方,並偽造惡意訊息觸發無上限鑄造。」
根據Arbiscan數據,攻擊者於UTC時間5月27日09:17:58,透過LayerZero v2執行器調用,精確鑄造了5,446,744,073,709.551615枚vsdCRV。PeckShield報告指出,迄今已有43.78枚ETH(價值約9.1萬美元)被兌換並橋接至以太坊。vsdCRV是sdCRV的一種投票加權包裝代幣,而sdCRV是Stake DAO在Curve Finance治理生態系統中使用的流動性質押代幣。
此次駭客攻擊加劇了DeFi安全領域的嚴峻局勢——自4月以來,已有超過6億美元在數十起駭客攻擊中損失,其中最大的一起是與北韓Lazarus集團有關的Kelp DAO遭攻擊事件,損失達2.93億美元。Stake DAO尚未公布經核實的事後分析報告或最終損失估算,且該攻擊似乎仍在持續中。
金鑰被入侵與智能合約漏洞之間的區別,對於資金追回前景至關重要。智能合約漏洞可以修補,但私鑰被入侵意味著攻擊者獲得了關鍵鑄造權限的控制權——在本次事件中,即是Arbitrum上vsdCRV的部署者錢包——而缺乏多簽或時間鎖等充分的安全保護措施。
這起事件也引發了關於跨鏈安全的新質疑。Stake DAO使用LayerZero進行跨網路代幣轉移。雖然LayerZero本身並未被入侵,但在目標鏈上鑄造無支撐代幣的能力,突顯了基於橋接的代幣架構所固有的風險。今年4月的Kelp DAO攻擊事件,同樣是利用偽造的LayerZero數據包在多條鏈上解鎖rsETH。
隨著攻擊者持續拋售膨脹後的供應量,包含sdCRV或vsdCRV的流動性池面臨潛在失衡。sdCRV的持有者必須評估底層CRV抵押品是否依然完好。Curve大戰中的競爭對手,尤其是Convex Finance,若用戶對Stake DAO的信心動搖,可能會因資金避險而受益。
本文僅供參考,不構成投資建議。
