要約:
- 攻撃者がArbitrumスケーラビリティネットワーク上で5.44兆個のvsdCRVイールドトークンを不正に発行しました。
- ブロックチェーンセキュリティ企業は、資金の初期の送金がEthereumへ行われ、推定価値は43.78 ETHであることを確認しました。
- この技術的問題は、Stake DAOのデプロイ用プライベートキーが直接侵害されたことによるものであり、スマートコントラクトの不具合は排除されています。
分散型金融プラットフォームStake DAOのインフラが攻撃を受けました。水曜日のセッション中に、Arbitrumネットワーク上で5.4兆個のvsdCRVトークンが不正に発行されたことが検出されました。この事象は、プロトコルの開発チームが公式チャネルを通じて確認し、ユーザーに対して該当資産とのあらゆるやり取りを避けるよう呼びかけました。
Arbitrumブリッジでの出来事の発生源
セキュリティ企業Blockaidの技術レポートによると、サイバー攻撃に関連するアドレスは、vsdCRVトークンを仮想通貨Ether(ETH)に大量に交換し始めました。PeckShieldによるオンチェーン分析では、攻撃者が発行された資産の一部を43.78 ETH(約91,000ドル)に交換し、その後、これらの資金が分散型ブリッジを介してEthereumメインネットに送金されたことが明らかになりました。
Blockaidが、Arbitrum上で@StakeDAOHQをターゲットにした攻撃を検出しました。
攻撃者は5.4兆以上のvsdCRVを新規発行し、それをETHと交換しています。
さらに詳しくは
— Blockaid (@blockaid_) May 27, 2026
vsdCRVアセットは、Curve Financeのライクウィディティエコシステムに直接リンクした収益デリバティブトークンとしてプラットフォーム内で機能します。監査会社BlockSecの報告によると、攻撃の経路はスマートコントラクトのコンピュータコードに存在する脆弱性から生じたものではありません。BlockSecの初期調査では、攻撃者がArbitrum上のStake DAOデプロイヤーのプライベートキーに直接アクセスした可能性が示唆されています。
攻撃者はこの特権的な資格情報を制御することで、Ethereumネットワーク上に自身が直接管理する悪意のある契約をリンクするようクロスチェーンブリッジの設定を変更しました。セキュリティ企業Sodotの共同設立者であるShalev Kerenは、この悪意のある契約がLayerZeroの相互運用技術を使用して検証メッセージを送信したと述べました。この行動はコアシステムを欺き、攻撃者のウォレットアドレスに5.44兆vsdCRVの無条件の発行を引き起こしました。
DeFiセクターにおける構造的脆弱性
この新たな脆弱性は、DeFiプロトコルを標的としたハッキングが大幅に増加した四半期に発生しました。サイバーセキュリティ業界の推計によると、2026年4月以降の攻撃による累計損失は6億ドルを超え、アナリストたちはこの傾向を攻撃者が高度な人工知能ツールを活用していることと関連付けています。
マルチシグ(multisig)方式やタイムディレイメカニズム(タイムロック)の欠如により、攻撃が即座に実行されました。Sodotのデータによると、特権設定の変更からブロックチェーン上で資金がミントされるまで、わずか25秒しか経過していません。この運用パターンは、先月Wasabiプロトコルが受けていた攻撃と構造的に類似しています。
ステークDAOチームは、残存する資金の移動を追跡するために、インフラプロバイダーおよびブロックチェーンフォレンジック分析企業と調整しながら、ミント操作を一時的に停止しています。侵害されたキーの機能の完全な無効化が完了次第、Arbitrumへのパッチ適用済みコントラクトのデプロイが予定されています。