TL;DR:
- Un attaquant a fabriqué illégalement 5,44 billions de jetons de rendement vsdCRV sur le réseau de scalabilité Arbitrum.
- Les entreprises de sécurité blockchain ont confirmé le transfert initial des fonds vers ethereum, pour une valeur estimée de 43,78 ETH.
- L'incident technique est attribué à la compromission directe de la clé privée du déploiement de Stake DAO, éliminant toute faille du contrat intelligent.
L'infrastructure de la plateforme de finance décentralisée Stake DAO a été attaquée. Pendant la session de mercredi, une émission non autorisée de 5,4 billions de jetons vsdCRV a été détectée sur le réseau Arbitrum. L'incident a été confirmé par l'équipe de développement du protocole via ses canaux officiels ; ils ont également demandé aux utilisateurs d'éviter tout type d'interaction avec l'actif concerné.
L'origine de l'incident sur les ponts Arbitrum
Les rapports techniques de la société de sécurité Blockaid révèlent que l'adresse liée à l'attaque cybernétique a commencé à échanger massivement le token vsdCRV contre la cryptomonnaie Ether (ETH). L'analyse sur chaîne de PeckShield a révélé que l'attaquant a réussi à convertir une fraction des actifs créés en 43,78 ETH, équivalent à environ 91 000 $, fonds qui ont ensuite été transférés vers le mainnet Ethereum via des ponts décentralisés.
Blockaid a détecté une exploitation en cours ciblant @StakeDAOHQ sur Arbitrum.
L'attaquant vient de créer plus de 5,4 billions de vsdCRV et les échange activement contre de l'ETH.
Plus de détails dans
— Blockaid (@blockaid_) May 27, 2026
L'actif vsdCRV fonctionne sur la plateforme comme un token dérivé de rendement directement lié à l'écosystème de liquidité de Curve Finance. Les rapports de l'entreprise de audit BlockSec indiquent que le vecteur d'attaque ne provenait pas d'une vulnérabilité dans le code informatique des contrats intelligents. Les enquêtes préliminaires de BlockSec suggèrent que l'attaquant a obtenu un accès direct à la clé privée du déploiement de Stake DAO sur Arbitrum.
En contrôlant cette identité privilégiée, l'attaquant a modifié la configuration du pont cross-chain pour relier un contrat malveillant sous son contrôle direct sur le réseau Ethereum. Shalev Keren, cofondateur de la société de sécurité Sodot, a déclaré que le contrat malveillant a envoyé un message de validation en utilisant la technologie d'interopérabilité de LayerZero. Cette action a trompé le système principal et déclenché l'émission inconditionnelle de 5,44 billions de vsdCRV vers l'adresse du portefeuille de l'attaquant.
Vulnérabilités structurelles dans le secteur DeFi
Cette nouvelle exploitation se produit dans un trimestre marqué par une augmentation significative des attaques ciblant les protocoles DeFi. Les estimations du secteur de la cybersécurité indiquent que les pertes cumulées dues à ces exploitations dépassent 600 millions de dollars depuis avril 2026, une tendance que les analystes associent à l'utilisation d'outils avancés d'intelligence artificielle par les attaquants.
L'absence d'un système de signature multiple (multisig) ou d'un mécanisme de délai temporel (timelock) a permis l'exécution immédiate de l'exploitation. Les données de Sodot montrent que seulement vingt-cinq secondes se sont écoulées entre la modification de la configuration privilégiée et la création des fonds sur la blockchain. Ce modèle opérationnel présente des similitudes structurelles avec l'attaque subie par le protocole Wasabi le mois dernier.
L'équipe de Stake DAO maintient temporairement la suspension des opérations de minting tout en coordonnant avec les fournisseurs d'infrastructure et les sociétés d'analyse forensic blockchain pour suivre le mouvement des fonds restants. Le déploiement d'un contrat corrigé sur Arbitrum est attendu une fois la révocation complète des fonctions de la clé compromise terminée.