簡而言之:
- 攻擊者在 Arbitrum 扩展網絡上非法鑄造了 5.44 兆枚 vsdCRV 收益代幣。
- 區塊鏈安全公司確認,資金最初被轉移至以太坊,估計價值為 43.78 ETH。
- 此技術問題歸因於 Stake DAO 部署者私鑰直接遭入侵,排除了智能合約存在漏洞的可能性。
去中心化金融平台 Stake DAO 的基礎設施遭到攻擊。在週三的交易期間,Arbitrum 網絡上檢測到未經授權發行了 5.4 萬億 vsdCRV 代幣。該事件已由協議開發團隊透過官方渠道確認,並敦促用戶避免與受影響資產進行任何互動。
Arbitrum 橋樑事件的起源
安全公司 Blockaid 的技術報告顯示,與網絡攻擊相關的地址開始將 vsdCRV 代幣大量兌換為加密貨幣 Ether(ETH)。PeckShield 的鏈上分析顯示,攻擊者成功將部分鑄造資產轉換為 43.78 ETH,約等於 91,000 美元,這些資金隨後透過去中心化橋樑轉至 Ethereum 主網。
Blockaid 檢測到針對@StakeDAOHQ 在 Arbitrum 上的持續攻擊。
攻擊者剛剛鑄造了超過 5.4 兆 vsdCRV,並正在積極將其兌換為 ETH。
更多詳情請參閱
— Blockaid (@blockaid_) May 27, 2026
vsdCRV 資產在平台內作為與 Curve Finance 流動性生態系統直接相關的收益衍生代幣運作。審計公司 BlockSec 的報告指出,攻擊向量並非源自智能合約的電腦代碼漏洞。BlockSec 的初步調查顯示,攻擊者直接獲取了 Arbitrum 上 Stake DAO 部署者的私鑰。
透過控制此特權憑證,攻擊者修改了跨鏈橋的設定,將其直接控制的惡意合約連結至 Ethereum 網路。安全公司 Sodot 的共同創辦人 Shalev Keren 表示,該惡意合約利用 LayerZero 的互操作性技術發送驗證訊息,欺騙了核心系統,並觸發無條件鑄造 5.44 兆 vsdCRV 至攻擊者的錢包地址。
DeFi 領域的結構性漏洞
此新漏洞發生在針對 DeFi 協議的駭客攻擊顯著增加的季度。網路安全領域的估計顯示,自 2026 年 4 月以來,因漏洞造成的累計損失已超過 6 億美元,分析師將這一趨勢與攻擊者使用先進人工智慧工具相關聯。
由於缺乏多重簽名(multisig)機制或時間延遲機制(timelock),漏洞得以立即執行。Sodot 的數據顯示,從特權配置的修改到資金在區塊鏈上鑄造,僅過了 25 秒。這種操作模式與上個月 Wasabi 協議所遭受的攻擊在結構上相似。
Stake DAO 團隊正在與基礎設施供應商及區塊鏈法證分析公司協調,以追蹤剩餘資金的流動,期間暫時停止鑄造操作。一旦被入侵密鑰的功能完全撤銷,預計將在 Arbitrum 上部署修補後的合約。