TL;DR:
- Um atacante cunhou ilegalmente 5,44 trilhões de tokens de rendimento vsdCRV na rede de escalabilidade Arbitrum.
- Empresas de segurança de blockchain confirmaram o desvio inicial de fundos para ethereum, com um valor estimado de 43,78 ETH.
- O incidente técnico é atribuído à compromissão direta da chave privada do deployer do Stake DAO, descartando falhas no contrato inteligente.
A infraestrutura da plataforma de finanças descentralizadas Stake DAO foi atacada. Durante a sessão de quarta-feira, a emissão não autorizada de 5,4 trilhões de tokens vsdCRV foi detectada na rede Arbitrum. O incidente foi confirmado pela equipe de desenvolvimento do protocolo por meio de seus canais oficiais; eles também pediram aos usuários que evitem qualquer tipo de interação com o ativo afetado.
A origem do incidente nas pontes do Arbitrum
Relatórios técnicos da empresa de segurança Blockaid revelam que o endereço ligado ao ciberataque iniciou a troca em massa do token vsdCRV pela criptomoeda Ether (ETH). A análise on-chain da PeckShield revelou que o atacante conseguiu converter uma fração dos ativos cunhados em 43,78 ETH, equivalente a cerca de US$ 91.000, fundos que foram posteriormente enviados para o mainnet Ethereum por meio de pontes descentralizadas.
O Blockaid detectou uma exploração em andamento direcionada a @StakeDAOHQ no Arbitrum.
O atacante acabou de cunhar mais de 5,4 trilhões de vsdCRV e está trocando ativamente por ETH.
Mais detalhes em
— Blockaid (@blockaid_) May 27, 2026
O ativo vsdCRV funciona na plataforma como um token derivado de rendimento diretamente ligado ao ecossistema de liquidez do Curve Finance. Relatórios da empresa de auditoria BlockSec indicam que o vetor de ataque não se originou de uma vulnerabilidade no código computacional dos contratos inteligentes. Investigações preliminares da BlockSec sugerem que o atacante obteve acesso direto à chave privada do deployer do Stake DAO no Arbitrum.
Ao controlar essa credencial privilegiada, o atacante alterou a configuração da ponte cross-chain para vincular um contrato malicioso sob seu controle direto na rede Ethereum. O co-fundador da empresa de segurança Sodot, Shalev Keren, disse que o contrato malicioso enviou uma mensagem de validação usando a tecnologia de interoperabilidade da LayerZero. Essa ação enganou o sistema principal e acionou a cunhagem incondicional de 5,44 trilhões de vsdCRV para o endereço da carteira do atacante.
Vulnerabilidades estruturais no setor DeFi
Essa nova exploração ocorre em um trimestre marcado por um aumento substancial em ataques direcionados a protocolos DeFi. Estimativas do setor de cibersegurança indicam que os prejuízos acumulados provenientes de explorações ultrapassam US$ 600 milhões desde abril de 2026, uma tendência que analistas associam ao uso de ferramentas avançadas de inteligência artificial por atacantes.
A ausência de um esquema de assinatura múltipla (multisig) ou de um mecanismo de atraso no tempo (timelock) permitiu a execução imediata da exploração. Dados da Sodot mostram que apenas vinte e cinco segundos se passaram entre a modificação da configuração privilegiada e a cunhagem dos fundos na blockchain. Este padrão operacional compartilha semelhanças estruturais com o ataque sofrido pelo protocolo Wasabi no mês passado.
A equipe do Stake DAO está mantendo as operações de cunhagem temporariamente suspensas enquanto coordena com provedores de infraestrutura e empresas de análise forense de blockchain para rastrear o movimento dos fundos restantes. A implantação de um contrato corrigido no Arbitrum será realizada assim que a revogação completa das funções da chave comprometida for concluída.