Коротко:
- Зловмисник незаконно випустив 5,44 трильйона yield-токенів vsdCRV на мережі Arbitrum.
- Фірми з безпеки блокчейну підтвердили початкове переказання коштів на ethereum на оцінну суму 43,78 ETH.
- Технічний інцидент пов’язаний із прямим компрометуванням приватного ключа розробника Stake DAO, що виключає наявність недоліків у смартконтракті.
Інфраструктура децентралізованої фінансової платформи Stake DAO була атакована. Під час сесії в середу було виявлено несанкціоноване випуск 5,4 трильйона токенів vsdCRV у мережі Arbitrum. Інцидент було підтверджено командою розробників протоколу через офіційні канали; вони також закликали користувачів уникати будь-яких взаємодій із пошкодженим активом.
Причина інциденту на мостах Arbitrum
Технічні звіти від безпекової фірми Blockaid свідчать, що адреса, пов’язана з кібератакою, розпочала масовий обмін токена vsdCRV на криптовалюту Ether (ETH). Он-чейн аналіз від PeckShield показав, що нападник зміг конвертувати частину випущених активів у 43,78 ETH, що дорівнює приблизно 91 000 доларів США, кошти, які були надіслані на Ethereum мейннет через децентралізовані мости.
Blockaid виявив активний експлойт, спрямований на @StakeDAOHQ у Arbitrum.
Зловмисник щойно випустив понад 5,4 трильйона vsdCRV і активно міняє їх на ETH.
Більше деталей у
— Blockaid (@blockaid_) 27 травня 2026
Актив vsdCRV функціонує на платформі як деривативний токен з дохідністю, який безпосередньо пов’язаний з екосистемою ліквідності Curve Finance. Звіти від аудиторської фірми BlockSec свідчать, що вектор атаки не походив із вразливості в комп’ютерному коді смартконтрактів. Попередні розслідування BlockSec вказують на те, що нападник отримав прямий доступ до приватного ключа розробника Stake DAO на Arbitrum.
Контролюючи ці привілеїровані облікові дані, нападник змінив конфігурацію моста між мережами, щоб зв’язати шкідливий контракт, який перебуває під його безпосереднім контролем у мережі Ethereum. Співзасновник компанії з кібербезпеки Sodot Шалев Керен сказав, що шкідливий контракт надіслав повідомлення про перевірку за допомогою технології взаємодії LayerZero. Ця дія обманула основну систему і спричинила безумовне створення 5,44 трильйона vsdCRV на адресу гаманця нападника.
Структурні вразливості в секторі DeFi
Ця нова експлуатація відбувається в квартал, що відзначився значним зростанням хакерських атак на DeFi-протоколи. Оцінки сектору кібербезпеки вказують, що загальні втрати від експлуатацій перевищили $600 мільйонів з квітня 2026 року — тенденцію, яку аналітики пов’язують із використанням нападниками передових інструментів штучного інтелекту.
Відсутність схеми багатопідпису (multisig) або механізму затримки за часом (timelock) дозволила миттєво виконати експлойт. Дані від Sodot показують, що між зміною привілейованої конфігурації та випуском коштів у блокчейні пройшло лише двадцять п’ять секунд. Цей операційний шаблон має структурну схожість із атакою, якій піддався протокол Wasabi минулого місяця.
Команда Stake DAO тимчасово призупинила операції з мінтингу, координуючи з постачальниками інфраструктури та фірмами блокчейн-форензичного аналізу відстеження руху залишкових коштів. Розгортання виправленого контракту на Arbitrum очікується після повного скасування функцій скомпрометованого ключа.