TL;DR:
- Isang attacker ay nagsagawa ng ilegal na pagmimina ng 5.44 trilyon na vsdCRV yield tokens sa network ng Arbitrum.
- Napatunayan ng mga ahensya sa seguridad ng blockchain ang unang paglipat ng mga pondo sa ethereum para sa isang inaasahang halaga ng 43.78 ETH.
- Ang teknikal na insidente ay inuugnay sa direkta pang kompromiso ng private key ng Stake DAO deployer, na nagtatanggal ng posibilidad ng mga kamalian sa smart contract.
Ang imprastruktura ng decentralized finance platform na Stake DAO ay sinakop. Noong sesyon ng Miyerkules, natuklasan ang hindi awtorisadong paglabas ng 5.4 trilyon vsdCRV na mga token sa network na Arbitrum. Ipinatotohanan ng koponan ng pag-unlad ng protocol sa kanilang opisyal mga channel; sila ay nagpaalala din sa mga user na iwasan ang anumang uri ng pag-uugnay sa apektadong asset.
Ang pinagmulan ng insidente sa mga tulay ng Arbitrum
Ang teknikal na ulat mula sa security firm na Blockaid ay nagpapakita na ang address na kaugnay sa cyberattack ay nagsimula ng malaking pagpalit ng vsdCRV token para sa cryptocurrency na Ether (ETH). Ang on-chain analysis mula sa PeckShield ay nagpapakita na nakamit ng attacker ang pag-convert ng isang bahagi ng mga minted assets patungo sa 43.78 ETH, katumbas ng halos $91,000, na sinundan ng pagpapadala sa Ethereum mainnet sa pamamagitan ng decentralized bridges.
Nakakita ang Blockaid ng isang patuloy na exploit na nagtatarget sa @StakeDAOHQ sa Arbitrum.
Ang attacker ay nag-mint ng higit sa 5.4 trilyon na vsdCRV at aktibong nagpapalit nito para sa ETH.
Higit pang detalye sa
— Blockaid (@blockaid_) May 27, 2026
Ang vsdCRV asset ay gumagana sa loob ng platform bilang yield derivative token na direkta na nakakonekta sa Curve Finance liquidity ecosystem. Ang mga ulat mula sa audit firm na BlockSec ay nagpapakita na ang attack vector ay hindi nagmula sa isang vulnerability sa computer code ng mga smart contract. Ang mga maagang imbestigasyon ng BlockSec ay nagmumungkahi na ang attacker ay nakakuha ng direkta access sa Stake DAO deployer private key sa Arbitrum.
Sa pamamagitan ng pagkontrol sa pribilehiyadong credential, binago ng attacker ang konfigurasyon ng cross-chain bridge upang i-link ang isang masasamang contract na nasa direkta niyang kontrol sa Ethereum network. Sinabi ni Shalev Keren, co-founder ng security firm na Sodot, na ang masasamang contract ay nagpadala ng isang validation message gamit ang interoperability technology ng LayerZero. Ipinagkakamali nito ang core system at nag-trigger sa walang kondisyon na pagmimint ng 5.44 trillion vsdCRV sa wallet address ng attacker.
Mga struktural na butas sa sektor ng DeFi
Nagaganap ang bagong exploit sa isang kuartal na may malaking pagtaas ng mga hack na naglalayon sa mga DeFi protocol. Ang mga estima ng sektor ng cybersecurity ay nagpapakita na ang kabuuang pagkawala mula sa mga exploit ay hihigit sa $600 milyon mula pa noong Abril 2026, isang trend na kaugnay ng mga analista sa paggamit ng mga advanced na mga tool ng artificial intelligence ng mga attacker.
Ang kakulangan ng multi-signature (multisig) scheme o time-delay mechanism (timelock) ay nagbigay-daan sa agad na pagpapatupad ng exploit. Ang data mula sa Sodot ay nagpapakita na lamang ay 25 segundo ang lumipas mula sa pagbabago ng privileged configuration hanggang sa pagminta ng mga pondo sa blockchain. Ang pattern na ito sa operasyon ay may structural similarities sa pag-atake na dinanas ng Wasabi protocol noong nakaraang buwan.
Ang koponan ng Stake DAO ay nagpapahintulot na pansamantalang ipagpatawal ang mga operasyon ng pagmimint habang nagko-kordinasyon sila sa mga provider ng infrastruktura at mga kumpanya ng blockchain forensic analysis upang subaybayan ang paggalaw ng mga natitirang pondo. Inaasahan ang pag-deploy ng patched contract sa Arbitrum matapos ang buong pag-revoke ng mga pag-andar ng nasiraan na key.