週三發生的 Stake DAO 攻擊事件導致協議的 Arbitrum 部署密鑰被入侵。攻擊者鑄造了約 5.4 萬億枚虛假的 Vote-Boosted sdCRV(vsdCRV)代幣,並通過公共路由將其兌換為以太幣。
此次入侵繞過了所有已設置的智慧合約控制。一個擁有特權的私鑰已導致今年數億美元的去中心化金融損失。
Stake DAO 被攻擊的經過
Blockaid 的鏈上警報將此次入侵追溯至一個 Stake DAO 部署錢包。攻擊者使用該密鑰重置了 vsdCRV 的 LayerZero v2 橋接對等點。
大約 25 秒後,一個偽造的跨鏈訊息在 Arbitrum 上鑄造了 5.4 兆 vsdCRV。
攻擊者透過 MetaMask 的公共路由 dump 了代幣。未發現智能合約漏洞。
值得注意的是,最近的 LayerZero 攻擊發生在 KelpDAO 上,同樣是透過類似的點對點設定濫用。
一個熟悉的關鍵漏洞模式
Stake DAO 的攻擊事件遵循與 四月的 Wasabi Protocol 資金外流 相同的模式,一個被入侵的部署錢包從四條鏈上的金庫中提取了約 $4.5 百萬。
同一個月,Drift Protocol 在 Solana 上損失了 285 億美元。Arbitrum 的 KelpDAO 冻結 數週後發生了 292 億美元的橋樑攻擊。
每個協議都已通過審計。故障並不在代碼中,而在設置橋樑節點或升級實現的密鑰中。Resolv 的 8000 萬美元鑄造今年早些時候也屬於同一類型
Sodot 聯合創始人 Shalev Keren 對 BeInCrypto 表示:「DeFi 在 2026 年必須回答的問題,已不再是協議是否經過審計,因為幾乎所有協議都已如此。現在的關鍵在於,這些經過審計合約背後的一小組操作密鑰……是否仍被允許以單一物件的形式存在於單一筆記型電腦上。」他補充說,審計已無法回答核心問題。
對於 Stake DAO 及其同行而言,多重簽名錢包保護 必須位於部署金鑰與偽造鑄造之間。否則,下一次 DeFi 平台遭駭 將追溯至單一筆記型電腦,而非惡意程式碼。