Stake DAO ถูกโจมตีบน Arbitrum สร้าง vsdCRV จำนวน 5.4T

TL;DR:

ผู้โจมตีได้สร้างโทเค็นผลตอบแทน vsdCRV จำนวน 5.44 ล้านล้านรายการอย่างผิดกฎหมายบนเครือข่าย Arbitrum
บริษัทด้านความปลอดภัยของบล็อกเชนยืนยันว่ามีการเบี่ยงเบนเงินทุนเริ่มต้นไปยัง Ethereum ด้วยมูลค่าประมาณ 43.78 ETH
เหตุการณ์ทางเทคนิคเกิดจากการถูกโจมตีโดยตรงต่อคีย์ส่วนตัวของผู้ดำเนินการ Stake DAO จึงตัดความเป็นไปได้ของข้อบกพร่องในสัญญาอัจฉริยะ

โครงสร้างพื้นฐานของแพลตฟอร์มการเงินแบบกระจายศูนย์ Stake DAO ได้รับการโจมตี ระหว่างเซสชันวันพุธ ได้ตรวจพบการออกโทเค็น vsdCRV จำนวน 5.4 ล้านล้านหน่วยบนเครือข่าย Arbitrum โดยทีมพัฒนาโปรโตคอลยืนยันเหตุการณ์นี้ผ่านช่องทางอย่างเป็นทางการ และยังเรียกร้องให้ผู้ใช้งานหลีกเลี่ยงการโต้ตอบใดๆ กับสินทรัพย์ที่ได้รับผลกระทบ

ต้นตอของเหตุการณ์บนสะพาน Arbitrum

รายงานทางเทคนิคจากบริษัทด้านความปลอดภัย Blockaid เปิดเผยว่าที่อยู่ที่เกี่ยวข้องกับการโจมตีทางไซเบอร์เริ่มการแลกเปลี่ยนโทเค็น vsdCRV เป็นคริปโตเคอเรนซี Ether (ETH) อย่างมหาศาล การวิเคราะห์บนโซ่จาก PeckShield เปิดเผยว่าผู้โจมตีสามารถแปลงสินทรัพย์ที่สร้างขึ้นบางส่วนเป็น 43.78 ETH หรือประมาณ $91,000 ซึ่งถูกส่งไปยัง Ethereum Mainnet ผ่านสะพานแบบกระจายศูนย์

Blockaid ตรวจจับการโจมตีที่กำลังเกิดขึ้นใส่ @StakeDAOHQ บน Arbitrum
ผู้โจมตีเพิ่งสร้าง vsdCRV มากกว่า 5.4 ล้านล้าน และกำลังแลกเปลี่ยนอย่างแข็งขันเป็น ETH
รายละเอียดเพิ่มเติมใน
— Blockaid (@blockaid_) May 27, 2026

สินทรัพย์ vsdCRV ทำหน้าที่ภายในแพลตฟอร์มเป็นโทเค็นอนุพันธ์ที่เชื่อมโยงโดยตรงกับระบบนิเวศของ Curve Finance รายงานจากบริษัทตรวจสอบ BlockSec ชี้ว่าช่องโหว่ของการโจมตีไม่ได้เกิดจากช่องโหว่ในรหัสคอมพิวเตอร์ของสัญญาอัจฉริยะ การสอบสวนเบื้องต้นโดย BlockSec ชี้ว่าผู้โจมตีได้รับการเข้าถึงกุญแจส่วนตัวของผู้ใช้งาน Stake DAO โดยตรงบน Arbitrum

โดยการควบคุมข้อมูลประจำตัวที่มีสิทธิ์พิเศษนี้ ผู้โจมตีได้เปลี่ยนการตั้งค่าสะพานข้ามโซ่เพื่อเชื่อมต่อกับสัญญาอันตรายที่อยู่ภายใต้การควบคุมโดยตรงของพวกเขาบนเครือข่าย Ethereum ชาเลฟ เคเรน ผู้ร่วมก่อตั้งบริษัทด้านความปลอดภัย Sodot กล่าวว่า สัญญาอันตรายดังกล่าวส่งข้อความยืนยันโดยใช้เทคโนโลยีการเชื่อมต่อข้ามแพลตฟอร์มของ LayerZero การกระทำนี้หลอกลวงระบบหลักและกระตุ้นให้พิมพ์ vsdCRV จำนวน 5.44 ล้านล้านหน่วยไปยังที่อยู่วอลเล็ตของผู้โจมตี

Stake DAO ได้รับการโจมตีอย่างต่อเนื่องบน Arbitrum โดยผู้โจมตีได้ปล่อย vsdCRV จำนวน 5.4 ล้านล้าน

ช่องโหว่เชิงโครงสร้างในภาค DeFi

การโจมตีแบบใหม่นี้เกิดขึ้นในช่วงที่มีการโจมตีโปรโตคอล DeFi เพิ่มขึ้นอย่างมาก หน่วยงานด้านความปลอดภัยทางไซเบอร์ประเมินว่าความสูญเสียสะสมจากการโจมตีเกินกว่า 600 ล้านดอลลาร์สหรัฐนับตั้งแต่เดือนเมษายน 2026 ซึ่งนักวิเคราะห์เชื่อมโยงแนวโน้มนี้กับการใช้เครื่องมือปัญญาประดิษฐ์ขั้นสูงโดยผู้โจมตี

การขาดระบบหลายลายเซ็น (multisig) หรือกลไกการหน่วงเวลา (timelock) ทำให้สามารถดำเนินการโจมตีได้ทันที ข้อมูลจาก Sodot แสดงว่าใช้เวลาเพียงยี่สิบห้าวินาทีระหว่างการเปลี่ยนแปลงการตั้งค่าที่มีสิทธิ์พิเศษกับการพิมพ์เงินบนบล็อกเชน รูปแบบการดำเนินงานนี้มีความคล้ายคลึงเชิงโครงสร้างกับการโจมตีที่ Wasabi protocol ต้องเผชิญเมื่อเดือนที่แล้ว

ทีม Stake DAO ได้ระงับการดำเนินการสร้างเหรียญชั่วคราว ในขณะที่ร่วมมือกับผู้ให้บริการโครงสร้างพื้นฐานและบริษัทวิเคราะห์หลักฐานบนบล็อกเชน เพื่อติดตามการเคลื่อนไหวของเงินทุนที่เหลืออยู่ การปรับใช้สัญญาที่ได้รับการแก้ไขบน Arbitrum จะเกิดขึ้นทันทีที่การเพิกถอนฟังก์ชันของกุญแจที่ถูกโจมตีเสร็จสมบูรณ์