Stake DAO Diserang Eksploit di Arbitrum, 5,4T vsdCRV Dicetak

TL;DR:

• Seorang penyerang secara ilegal mencetak 5,44 triliun token imbal hasil vsdCRV di jaringan skalabilitas Arbitrum.
• Perusahaan keamanan blockchain mengonfirmasi awalnya pemindahan dana ke ethereum dengan perkiraan nilai 43,78 ETH.
• Insiden teknis ini disebabkan oleh kompromi langsung terhadap kunci pribadi deployer Stake DAO, sehingga menyingkirkan kemungkinan kelemahan pada kontrak pintar.

Infrastruktur platform keuangan terdesentralisasi Stake DAO diserang. Selama sesi Rabu, penerbitan tidak sah sebanyak 5,4 triliun token vsdCRV terdeteksi di jaringan Arbitrum. Insiden ini dikonfirmasi oleh tim pengembang protokol melalui saluran resmi mereka; mereka juga mendesak pengguna untuk menghindari segala jenis interaksi dengan aset yang terdampak.

Laporan teknis dari perusahaan keamanan Blockaid mengungkap bahwa alamat yang terkait dengan serangan siber memulai pertukaran besar-besaran token vsdCRV menjadi mata uang kripto Ether (ETH). Analisis on-chain dari PeckShield mengungkap bahwa pelaku serangan berhasil mengonversi sebagian aset yang diterbitkan menjadi 43,78 ETH, setara dengan sekitar $91.000, yang selanjutnya dikirim ke Ethereum mainnet melalui jembatan terdesentralisasi.

Blockaid mendeteksi eksploitasi yang sedang berlangsung yang menargetkan @StakeDAOHQ di Arbitrum.

Penyerang baru saja mencetak lebih dari 5,4 triliun vsdCRV dan secara aktif menukarnya dengan ETH.

Lebih banyak detail di

— Blockaid (@blockaid_) 27 Mei 2026

Aset vsdCRV berfungsi di dalam platform sebagai token derivatif imbal hasil yang secara langsung terkait dengan ekosistem likuiditas Curve Finance. Laporan dari firma audit BlockSec menunjukkan bahwa vektor serangan tidak berasal dari kerentanan dalam kode komputer kontrak pintar. Investigasi awal oleh BlockSec menyarankan bahwa penyerang memperoleh akses langsung ke kunci pribadi deployer Stake DAO di Arbitrum.

Dengan mengendalikan kredensial berwewenang ini, penyerang mengubah konfigurasi jembatan lintas-rantai untuk menghubungkan kontrak jahat yang berada di bawah kendali langsung mereka di jaringan Ethereum. Co-founder perusahaan keamanan Sodot, Shalev Keren, mengatakan bahwa kontrak jahat mengirim pesan validasi menggunakan teknologi interoperabilitas LayerZero. Tindakan ini menipu sistem inti dan memicu pencetakan tanpa syarat sebanyak 5,44 triliun vsdCRV ke alamat dompet penyerang.

Eksploitasi baru ini terjadi pada kuartal yang ditandai oleh peningkatan signifikan dalam serangan terhadap protokol DeFi. Estimasi sektor keamanan siber menunjukkan bahwa kerugian kumulatif dari eksploitasi melebihi $600 juta sejak April 2026, sebuah tren yang dikaitkan oleh para analis dengan penggunaan alat kecerdasan buatan canggih oleh para penyerang.

Ketidaktiadaan skema multi-tanda tangan (multisig) atau mekanisme penundaan waktu (timelock) memungkinkan eksploitasi dilakukan segera. Data dari Sodot menunjukkan bahwa hanya dua puluh lima detik berlalu antara modifikasi konfigurasi berwewenang dan pencetakan dana di blockchain. Pola operasional ini memiliki kesamaan struktural dengan serangan yang dialami protokol Wasabi bulan lalu.

Tim Stake DAO sementara menangguhkan operasi pencetakan sambil berkoordinasi dengan penyedia infrastruktur dan perusahaan analisis forensik blockchain untuk melacak pergerakan dana yang tersisa. Peluncuran kontrak yang telah diperbaiki di Arbitrum diharapkan segera setelah pencabutan penuh terhadap fungsi kunci yang disusupi selesai.