TL;DR:
- Seorang penyerang secara haram mencetak 5.44 trilion token hasil vsdCRV di rangkaian skalabiliti Arbitrum.
- Syarikat keselamatan blok rantai mengesahkan perpindahan awal dana ke ethereum dengan nilai anggaran 43.78 ETH.
- Insiden teknikal ini disebabkan oleh kompromi terus terhadap kunci peribadi penyebar Stake DAO, menyingkirkan kelemahan kontrak pintar.
Infrastruktur platform kewangan terdesentralisasi Stake DAO diserang. Semasa sesi Rabu, penerbitan tidak sah sebanyak 5.4 trilion token vsdCRV dikesan pada rangkaian Arbitrum. Insiden ini disahkan oleh pasukan pembangunan protokol melalui saluran rasmi mereka; mereka juga mendesak pengguna untuk mengelak sebarang jenis interaksi dengan aset yang terkesan.
Asal kejadian itu pada jambatan Arbitrum
Laporan teknikal daripada firma keselamatan Blockaid menunjukkan bahawa alamat yang dikaitkan dengan serangan siber bermula dengan pertukaran besar-besaran token vsdCRV kepada mata wang kripto Ether (ETH). Analisis atas rantai daripada PeckShield mengungkapkan bahawa penyerang berjaya menukar sebahagian daripada aset yang dicetak menjadi 43.78 ETH, setara dengan kira-kira $91,000, dana yang kemudiannya dihantar ke rangkaian utama Ethereum melalui jambatan terdesentralisasi.
Blockaid mendeteksi serangan yang sedang berlangsung yang menargetkan @StakeDAOHQ di Arbitrum.
Penyerang baru sahaja mencetak lebih daripada 5.4 trilion vsdCRV dan sedang menukarkannya secara aktif untuk ETH.
Lebih banyak butiran dalam
— Blockaid (@blockaid_) 27 Mei 2026
Aset vsdCRV berfungsi di dalam platform sebagai token derivatif hasil yang secara langsung dikaitkan dengan ekosistem likuiditi Curve Finance. Laporan daripada firma audit BlockSec menunjukkan bahawa vektor serangan tidak berasal daripada kelemahan dalam kod komputer kontrak pintar. Siasatan awal oleh BlockSec mencadangkan bahawa penyerang mendapat akses terus kepada kunci peribadi penerbit Stake DAO di Arbitrum.
Dengan mengawal kredensial istimewa ini, penyerang mengubah konfigurasi jambatan silang-rantaian untuk menghubungkan kontrak jahat yang berada di bawah kawalan langsung mereka pada rangkaian Ethereum. Co-founder firma keselamatan Sodot, Shalev Keren, mengatakan bahawa kontrak jahat tersebut menghantar mesej pengesahan menggunakan teknologi interoperabiliti LayerZero. Tindakan ini menipu sistem utama dan memicu pencetakan tanpa syarat sebanyak 5.44 trilion vsdCRV ke alamat dompet penyerang.
Kerentanan struktur dalam sektor DeFi
Eksploitasi baru ini berlaku dalam suatu kuartal yang ditandai dengan peningkatan besar dalam serangan terhadap protokol DeFi. Anggaran sektor keselamatan siber menunjukkan bahawa kerugian kumulatif daripada eksploitasi melebihi $600 juta sejak April 2026, satu trend yang dikaitkan oleh analis dengan penggunaan alat kecerdasan buatan canggih oleh penyerang.
Ketiadaan skim multi-tandatangan (multisig) atau mekanisme penundaan masa (timelock) membenarkan pelaksanaan eksploit secara serta-merta. Data dari Sodot menunjukkan bahawa hanya dua puluh lima saat berlalu antara pengubahsuaian konfigurasi berautoriti dan pencetakan dana di blok rantai. Pola operasi ini mempunyai persamaan struktur dengan serangan yang dialami oleh protokol Wasabi bulan lepas.
Pasukan Stake DAO menangguhkan operasi penciptaan sementara sambil berkoordinasi dengan penyedia infrastruktur dan firma analisis forensik blok rantai untuk melacak pergerakan dana yang tinggal. Penerapan kontrak yang telah diperbaiki di Arbitrum dijangka berlaku setelah pencabutan penuh fungsi kunci yang diserang selesai.