Stake DAO сталкивается с продолжающейся уязвимостью, связанной с токеном vsdCRV в сети Arbitrum. Компания Blockaid, специализирующаяся на блокчейн-безопасности, сообщила, что злоумышленник выпустил более 5,4 триллиона токенов vsdCRV и начал обменивать их на ETH.
Stake DAO подтвердила, что ей известно о ситуации, и призвала пользователей воздержаться от взаимодействия с vsdCRV. Предупреждение проекта прозвучало на фоне того, как исследователи продолжали отслеживать активность злоумышленника в сетях Arbitrum и Ethereum.
vsdCRV, или sdCRV с поддержкой голосования, связан с экосистемой Curve Finance и используется в продуктах доходности Stake DAO. Токен стал центром инцидента после того, как злоумышленник, предположительно, получил достаточный контроль для выпуска огромного количества токенов.
Компания PeckShield сообщила, что часть выпущенных средств уже была обменена на 43,78 ETH, что составляет около $91000, и переведена в Ethereum. Инцидент находится в стадии развития, и окончательные данные о потерях могут измениться по мере отслеживания новых транзакций.
Исследователи указывают на компрометацию ключа развертывания
Компания Blockaid заявила, что предполагаемой первопричиной стала компрометация закрытого ключа развертывания Stake DAO. По данным компании, злоумышленник использовал этот доступ для переконфигурации узла LayerZero v2 OFT для контракта токена vsdCRV.
Предполагается, что это изменение перенаправило доверие от легитимного адаптера на стороне Ethereum к вредоносному контракту, контролируемому злоумышленником. Затем злоумышленник отправил поддельное сообщение между сетяими, которое инициировало выпуск примерно 5,44 триллиона vsdCRV.
Компания BlockSec описала атаку как случай, когда злоумышленник, по всей видимости, получил закрытый ключ развертывателя и установил произвольный узел для vsdCRV. Компания заявила, что поддельное сообщение затем привело к безусловному созданию ключей на адрес злоумышленника.
Этот инцидент демонстрирует, насколько привилегированный доступ остается серьезным риском в DeFi. Даже когда код смарт-контракта работает как положено, скомпрометированный ключ развертывания может дать злоумышленникам возможность изменять доверенные настройки и вызывать потери.
Проблемы безопасности DeFi усугубляются
Уязвимость в Stake DAO стала следствием серии недавних инцидентов в сфере DeFi. Соучредитель OpenZeppelin Мануэль Араос заявил, что теперь считает «весь DeFi» небезопасным и посоветовал друзьям и родственникам выйти из своих позиций в DeFi.
Араос утверждал, что агенты программирования становятся мощными инструментами для поиска уязвимостей, в то время как защитникам по-прежнему необходимо устранять каждую уязвимость до того, как злоумышленники её обнаружат. Его комментарии прозвучали на фоне того, что в апреле протоколы DeFi потеряли около $629,7 миллионов в результате хакерских атак.
Кроме того, Wasabi Protocol потерял более $5 миллионов в сетях Ethereum, Base, Berachain и Blast после того, как скомпрометированный административный ключ позволил злоумышленникам обновить контракты и вывести средства.
Этот случай напоминает нынешнюю проблему со Stake DAO, поскольку оба инцидента были связаны с привилегированным доступом к ключам, а не с простой манипуляцией рынком. Wasabi также предупредила пользователей не взаимодействовать с ее контрактами, пока команда проводит расследование.
Риски, связанные с кроссчейн-операциями, остаются в центре внимания
Инцидент со Stake DAO также указывает на риски, связанные с межсетевыми токенами. В отчетах по безопасности зафиксированы неоднократные атаки на мосты, настройки узлов и проверку сообщений в разных блокчейнах в 2026 году.
В майском обзоре безопасности BlockSec были перечислены многочисленные инциденты в сетях Ethereum, Sui, BNB Chain, Base, Blast и Berachain, с общим ущербом около $15,9 миллионов за двухнедельный период. В блоге компании также был назван случай взлома ключа Wasabi.
В апреле Kelp DAO пострадала от одной из крупнейших в этом году атак на DeFi-платформу, когда злоумышленники вывели около $292 миллионов из моста, работающего на платформе LayerZero. Взлом вызвал опасения по поводу обеспечения активов между более чем 20 сетями.
Читайте также:
