एर्बिट्रम पर डीएओ को एक्सप्लॉइट का निशाना बनाया गया, 5.4 ट्रिलियन vsdCRV मिंट किए गए

TL;DR:

एक हमलावर ने Arbitrum स्केलेबिलिटी नेटवर्क पर 5.44 ट्रिलियन vsdCRV यील्ड टोकन अवैध रूप से जारी किए।
ब्लॉकचेन सुरक्षा कंपनियों ने प्रारंभिक धन का ईथेरियम में स्थानांतरण 43.78 ETH के अनुमानित मूल्य के साथ पुष्टि किया।
तकनीकी घटना का कारण स्टेक DAO डिप्लॉयर प्राइवेट की का प्रत्यक्ष दुरुपयोग है, जिससे स्‍मार्ट कॉन्ट्रैक्ट की कमजोरियों को बाहर कर दिया गया है।

डिसेंट्रलाइज्ड फाइनेंस प्लेटफॉर्म Stake DAO की बुनियादी ढांचे पर हमला किया गया। बुधवार के सेशन के दौरान, Arbitrum नेटवर्क पर 5.4 ट्रिलियन vsdCRV टोकन के अनधिकृत जारी किए जाने का पता चला। घटना की पुष्टि प्रोटोकॉल की डेवलपमेंट टीम ने अपने आधिकारिक चैनलों के माध्यम से की; उन्होंने उपयोगकर्ताओं को प्रभावित संपत्ति के साथ किसी भी प्रकार की बातचीत से बचने की सलाह भी दी।

Arbitrum ब्रिजेस पर घटना की उत्पत्ति

सुरक्षा कंपनी Blockaid की तकनीकी रिपोर्ट्स के अनुसार, साइबर हमले से जुड़ा पता vsdCRV टोकन को क्रिप्टोकरेंसी ईथेर (ETH) के लिए विशाल मात्रा में स्वैप करना शुरू कर दिया। PeckShield से हुई ऑन-चेन विश्लेषण से पता चला कि हमलावर ने बनाए गए संपत्ति का एक हिस्सा 43.78 ETH, जो लगभग $91,000 के बराबर है, में रूपांतर कर लिया, जिन्हें बाद में डिसेंट्रलाइज्ड ब्रिजेज के माध्यम से Ethereum मेननेट पर भेज दिया गया।

Blockaid ने Arbitrum पर @StakeDAOHQ को लक्ष्य बनाए जा रहे एक चल रहे दुरुपयोग का पता लगाया है।
हमलावर ने अभी तक 5.4 ट्रिलियन vsdCRV मिंट किए हैं और इसे ETH के लिए स्वैप कर रहे हैं।
अधिक विवरण इनमें
— Blockaid (@blockaid_) May 27, 2026

vsdCRV एसेट प्लेटफॉर्म के भीतर कर्मचारी डेरिवेटिव टोकन के रूप में कार्य करता है, जो कर्व फाइनेंस लिक्विडिटी परितंत्र से सीधे जुड़ा हुआ है। ऑडिट फर्म BlockSec की रिपोर्ट्स के अनुसार, हमले का स्रोत स्मार्ट कॉन्ट्रैक्ट्स के कंप्यूटर कोड में किसी वल्नरेबिलिटी से नहीं आया था। BlockSec द्वारा प्रारंभिक जांच से पता चला है कि हमलावर ने Arbitrum पर Stake DAO डिप्लॉयर प्राइवेट की का सीधा एक्सेस प्राप्त कर लिया था।

इस प्राविलेज्ड क्रेडेंशियल को नियंत्रित करके, हमलावर ने Ethereum नेटवर्क पर अपने सीधे नियंत्रण में एक दुर्भावनापूर्ण कॉन्ट्रैक्ट को जोड़ने के लिए क्रॉस-चेन ब्रिज कॉन्फ़िगरेशन में बदलाव किया। सुरक्षा कंपनी Sodot के सह-संस्थापक शलेव केरेन ने कहा कि दुर्भावनापूर्ण कॉन्ट्रैक्ट ने LayerZero की इंटरऑपरेबिलिटी तकनीक का उपयोग करके एक प्रमाणीकरण संदेश भेजा। इस कार्रवाई ने मुख्य सिस्टम को धोखा दिया और हमलावर के वॉलेट एड्रेस पर 5.44 ट्रिलियन vsdCRV का अनुबंधित मिंटिंग शुरू कर दिया।

स्टेक DAO को Arbitrum पर एक सक्रिय दुरुपयोग का सामना करना पड़ा, जहां एक हमलावर ने 5.4 ट्रिलियन vsdCRVs उत्सर्जित किए

DeFi क्षेत्र में संरचनात्मक भेद्यताएँ

यह नया दुरुपयोग एक ऐसे तिमाही में हुआ है, जिसमें DeFi प्रोटोकॉल के लक्ष्य पर हैक्स में काफी वृद्धि हुई है। साइबर सुरक्षा क्षेत्र के अनुमानों के अनुसार, अप्रैल 2026 से दुरुपयोग से हुए कुल नुकसान $600 मिलियन से अधिक हैं, एक ऐसी प्रवृत्ति जिसे विश्लेषक आक्रमणकारियों द्वारा उन्नत कृत्रिम बुद्धिमत्ता उपकरणों के उपयोग से जोड़ते हैं।

मल्टी-सिग्नेचर (मल्टिसिग) योजना या समय-विलंब तंत्र (टाइमलॉक) के अभाव के कारण दुरुपयोग का तुरंत कार्यान्वयन संभव हो पाया। सोडोट से प्राप्त डेटा के अनुसार, प्राथमिक कॉन्फ़िगरेशन में परिवर्तन और ब्लॉकचेन पर धन के मिंट होने के बीच केवल बाइसवें सेकंड बीते। यह संचालन पैटर्न पिछले महीने वासाबी प्रोटोकॉल द्वारा सहन किए गए हमले के साथ संरचनात्मक समानता साझा करता है।

स्टेक डीएओ टीम शेष धन की गतिविधि को ट्रैक करने के लिए बुनियादी ढांचा प्रदाताओं और ब्लॉकचेन फोरेंसिक विश्लेषण कंपनियों के साथ समन्वय करते हुए मिंटिंग संचालन को अस्थायी रूप से निलंबित किए हुए है। संक्षिप्त कुंजी के कार्यों के पूर्ण रद्दीकरण के बाद आर्बिट्रम पर पैच किए गए कॉन्ट्रैक्ट के स्थापित होने की उम्मीद है।