DAO стейк подвергся атаке на Arbitrum, выпущено 5,4 трлн vsdCRV

Коротко:

• Злоумышленник незаконно создал 5,44 триллиона токенов vsdCRV на масштабируемой сети Arbitrum.
• Компании по безопасности блокчейна подтвердили первоначальное перенаправление средств на ethereum на оценочную сумму 43,78 ETH.
• Технический инцидент связан с прямым компрометированием приватного ключа разработчика Stake DAO, что исключает наличие уязвимостей в смарт-контракте.

Инфраструктура децентрализованной финансовой платформы Stake DAO подверглась атаке. Во время сессии в среду было обнаружено несанкционированное выпуск 5,4 триллиона токенов vsdCRV на сети Arbitrum. Инцидент был подтвержден командой разработчиков протокола через официальные каналы; они также призвали пользователей избегать любых взаимодействий с затронутым активом.

Технические отчеты компании по кибербезопасности Blockaid показывают, что адрес, связанный с кибератакой, начал массовый обмен токена vsdCRV на криптовалюту Ether (ETH). Анализ в цепочке от PeckShield выявил, что злоумышленнику удалось конвертировать долю созданных активов в 43,78 ETH, что эквивалентно примерно 91 000 долларов США, и эти средства были затем отправлены на Ethereum мейннет через децентрализованные мосты.

Blockaid обнаружил продолжающуюся атаку, направленную на @StakeDAOHQ на Arbitrum.

Атакующий только что выпустил более 5,4 триллиона vsdCRV и активно обменивает их на ETH.

Больше деталей в

— Blockaid (@blockaid_) 27 мая 2026

Актив vsdCRV функционирует на платформе как деривативный токен с доходностью, напрямую связанный с экосистемой ликвидности Curve Finance. Отчеты аудиторской фирмы BlockSec указывают, что вектор атаки не возник из-за уязвимости в компьютерном коде смарт-контрактов. Предварительные расследования BlockSec предполагают, что злоумышленник получил прямой доступ к приватному ключу разработчика Stake DAO на Arbitrum.

Контролируя эту привилегированную учетную запись, злоумышленник изменил конфигурацию моста между цепочками, чтобы связать вредоносный контракт, находящийся под его прямым контролем, в сети Ethereum. Сооснователь компании по кибербезопасности Sodot Шалев Керен заявил, что вредоносный контракт отправил сообщение о проверке с использованием технологии межоперабельности LayerZero. Это действие обмануло основную систему и вызвало безусловную эмиссию 5,44 трлн vsdCRV на адрес кошелька злоумышленника.

Эта новая уязвимость возникает в квартал, отмеченный значительным ростом хакерских атак на протоколы DeFi. Оценки сектора кибербезопасности указывают, что совокупные потери от эксплойтов превысили $600 млн с апреля 2026 года — тенденцию, которую аналитики связывают с использованием злоумышленниками передовых инструментов искусственного интеллекта.

Отсутствие системы мультиподписи (multisig) или механизма задержки по времени (timelock) позволило немедленно реализовать эксплуатацию. Данные от Sodot показывают, что между изменением привилегированной конфигурации и чеканкой средств на блокчейне прошло всего двадцать пять секунд. Эта операционная схема имеет структурное сходство с атакой, которой подвергся протокол Wasabi в прошлом месяце.

Команда Stake DAO временно приостановила операции по чеканке, координируя действия с провайдерами инфраструктуры и компаниями по блокчейн-форензике для отслеживания перемещения оставшихся средств. Развертывание исправленного контракта на Arbitrum ожидается после полного отменения функций скомпрометированного ключа.