TL;DR:
- Un atacante acuñó ilícitamente 5,44 billones de tokens de rendimiento vsdCRV en la red de escalabilidad Arbitrum.
- Las empresas de seguridad de blockchain confirmaron la transferencia inicial de fondos a ethereum, con un valor estimado de 43,78 ETH.
- El incidente técnico se atribuye al compromiso directo de la clave privada del desplegador de Stake DAO, descartando fallos en el contrato inteligente.
La infraestructura de la plataforma de finanzas descentralizadas Stake DAO fue atacada. Durante la sesión del miércoles, se detectó la emisión no autorizada de 5,4 billones de tokens vsdCRV en la red Arbitrum. El incidente fue confirmado por el equipo de desarrollo del protocolo a través de sus canales oficiales; también instaron a los usuarios a evitar cualquier tipo de interacción con el activo afectado.
El origen del incidente en los puentes de Arbitrum
Los informes técnicos de la firma de seguridad Blockaid revelan que la dirección vinculada al ciberataque comenzó el intercambio masivo del token vsdCRV por la criptomoneda Ether (ETH). El análisis en cadena de PeckShield reveló que el atacante logró convertir una fracción de los activos acuñados en 43.78 ETH, equivalente a aproximadamente $91,000, fondos que posteriormente fueron enviados al mainnet de Ethereum a través de puentes descentralizados.
Blockaid detectó una explotación en curso dirigida a @StakeDAOHQ en Arbitrum.
El atacante acaba de acuñar más de 5,4 billones de vsdCRV y está intercambiándolos activamente por ETH.
Más detalles en
— Blockaid (@blockaid_) May 27, 2026
El activo vsdCRV funciona dentro de la plataforma como un token derivado de rendimiento directamente vinculado al ecosistema de liquidez de Curve Finance. Los informes de la firma de auditoría BlockSec indican que el vector de ataque no se originó en una vulnerabilidad en el código informático de los contratos inteligentes. Las investigaciones preliminares de BlockSec sugieren que el atacante obtuvo acceso directo a la clave privada del desplegador de Stake DAO en Arbitrum.
Al controlar esta credencial privilegiada, el atacante modificó la configuración del puente cruzado para vincular un contrato malicioso bajo su control directo en la red Ethereum. El cofundador de la empresa de seguridad Sodot, Shalev Keren, dijo que el contrato malicioso envió un mensaje de validación utilizando la tecnología de interoperabilidad de LayerZero. Esta acción engañó al sistema principal y activó la acuñación incondicional de 5,44 billones de vsdCRV a la dirección del monedero del atacante.
Vulnerabilidades estructurales en el sector DeFi
Esta nueva vulnerabilidad ocurre en un trimestre marcado por un aumento sustancial en los ataques dirigidos a protocolos DeFi. Las estimaciones del sector de ciberseguridad indican que las pérdidas acumuladas por explotaciones superan los $600 millones desde abril de 2026, una tendencia que los analistas asocian con el uso de herramientas avanzadas de inteligencia artificial por parte de los atacantes.
La ausencia de un esquema de firma múltiple (multisig) o un mecanismo de retraso temporal (timelock) permitió la ejecución inmediata del exploit. Los datos de Sodot muestran que transcurrieron solo veinticinco segundos entre la modificación de la configuración privilegiada y la acuñación de los fondos en la cadena de bloques. Este patrón operativo comparte similitudes estructurales con el ataque sufrido por el protocolo Wasabi el mes pasado.
El equipo de Stake DAO mantiene temporalmente suspendidas las operaciones de acuñación mientras coordina con proveedores de infraestructura y empresas de análisis forense de cadena de bloques para rastrear el movimiento de los fondos restantes. Se espera la implementación de un contrato corregido en Arbitrum una vez finalizada la revocación completa de las funciones de la clave comprometida.