TL;DR:
- Một kẻ tấn công đã tạo trái phép 5,44 nghìn tỷ token sinh lợi vsdCRV trên mạng Arbitrum.
- Các công ty bảo mật blockchain xác nhận việc chuyển khoản ban đầu đến ethereum với giá trị ước tính là 43,78 ETH.
- Sự cố kỹ thuật là do khóa riêng của người triển khai Stake DAO bị xâm phạm trực tiếp, loại trừ khả năng lỗi hợp đồng thông minh.
Cơ sở hạ tầng của nền tảng tài chính phi tập trung Stake DAO đã bị tấn công. Trong phiên giao dịch vào thứ Tư, việc phát hành trái phép 5,4 nghìn tỷ token vsdCRV đã được phát hiện trên mạng Arbitrum. Sự cố đã được đội ngũ phát triển giao thức xác nhận thông qua các kênh chính thức; họ cũng kêu gọi người dùng tránh mọi hình thức tương tác với tài sản bị ảnh hưởng.
Nguồn gốc của sự cố trên các cầu Arbitrum
Các báo cáo kỹ thuật từ công ty bảo mật Blockaid tiết lộ rằng địa chỉ liên quan đến cuộc tấn công mạng đã bắt đầu việc hoán đổi khối lượng lớn token vsdCRV lấy tiền điện tử Ether (ETH). Phân tích trên chuỗi từ PeckShield cho thấy kẻ tấn công đã chuyển đổi một phần tài sản được tạo ra thành 43,78 ETH, tương đương khoảng 91.000 USD, số tiền sau đó đã được gửi đến mạng chính Ethereum thông qua các cầu phi tập trung.
Blockaid đã phát hiện một cuộc khai thác đang diễn ra nhắm vào @StakeDAOHQ trên Arbitrum.
Kẻ tấn công vừa tạo ra hơn 5,4 nghìn tỷ vsdCRV và đang tích cực hoán đổi chúng lấy ETH.
Chi tiết thêm tại
— Blockaid (@blockaid_) May 27, 2026
Tài sản vsdCRV hoạt động trên nền tảng như một token phái sinh sinh lời, được liên kết trực tiếp với hệ sinh thái thanh khoản của Curve Finance. Các báo cáo từ công ty kiểm toán BlockSec cho thấy vector tấn công không xuất phát từ lỗ hổng trong mã máy tính của hợp đồng thông minh. Các điều tra sơ bộ của BlockSec cho thấy kẻ tấn công đã có quyền truy cập trực tiếp vào khóa riêng của người triển khai Stake DAO trên Arbitrum.
Bằng cách kiểm soát quyền truy cập đặc quyền này, kẻ tấn công đã thay đổi cấu hình cầu liên chuỗi để liên kết một hợp đồng độc hại dưới sự kiểm soát trực tiếp của chúng trên mạng Ethereum. Đồng sáng lập công ty bảo mật Sodot, Shalev Keren, cho biết hợp đồng độc hại đã gửi một tin nhắn xác thực sử dụng công nghệ tương tác của LayerZero. Hành động này đã lừa hệ thống lõi và kích hoạt việc tạo ra không điều kiện 5,44 nghìn tỷ vsdCRV vào địa chỉ ví của kẻ tấn công.
Lỗ hổng cấu trúc trong lĩnh vực DeFi
Lỗ hổng mới này xảy ra trong một quý được đánh dấu bởi sự gia tăng đáng kể các vụ hack nhắm vào các giao thức DeFi. Các ước tính từ ngành an ninh mạng cho thấy tổng thiệt hại do các vụ khai thác vượt quá 600 triệu USD kể từ tháng 4 năm 2026, một xu hướng mà các chuyên gia phân tích liên hệ với việc các kẻ tấn công sử dụng các công cụ trí tuệ nhân tạo tiên tiến.
Sự vắng mặt của cơ chế đa chữ ký (multisig) hoặc cơ chế trì hoãn thời gian (timelock) đã cho phép thực thi lỗ hổng ngay lập tức. Dữ liệu từ Sodot cho thấy chỉ mất hai mươi lăm giây giữa việc thay đổi cấu hình có quyền và việc tạo ra số tiền trên blockchain. Mô hình hoạt động này có sự tương đồng về cấu trúc với cuộc tấn công mà giao thức Wasabi đã trải qua vào tháng trước.
Đội ngũ Stake DAO đang tạm ngừng các hoạt động đúc tiền trong khi phối hợp với các nhà cung cấp cơ sở hạ tầng và các công ty phân tích forensics blockchain để theo dõi sự di chuyển của số tiền còn lại. Việc triển khai hợp đồng đã được vá trên Arbitrum dự kiến sẽ diễn ra sau khi quá trình thu hồi hoàn toàn chức năng của khóa bị xâm phạm được hoàn tất.