幣界網報導:
Stake DAO 於 Arbitrum 上發生安全事件,攻擊者據稱取得協議部署者的私鑰後,修改了 vsdCRV 的 LayerZero v2 對端配置,隨後偽造跨鏈訊息,觸發大規模異常鑄幣。
攻擊路徑指向私鑰與跨鏈配置
根據披露,問題出現在 vsdCRV 的跨鏈通信設置。攻擊者將 LayerZero v2 的對端地址改為可控目標後,構造了一條惡意跨鏈消息,使合約在沒有額外限制的情況下,向其錢包直接鑄造了約 5.44 萬億枚 vsdCRV。
此類攻擊並非透過公開市場買入完成,而是直接利用協議權限與跨鏈訊息驗證環節,製造出原本不應存在的大額代幣供應。
部分代幣已兌換並轉至以太坊
區塊鏈安全公司 Blockaid 表示,攻擊者已賣出部分代幣,換得約 43.78 枚 ETH,並將資金橋接回以太坊主網。這意味著相關資產已開始跨鏈轉移,後續追蹤和凍結難度可能上升。
- 攻擊發生在 Arbitrum 網絡
- 涉及代幣為 Stake DAO 的 vsdCRV
- 已有部分資金轉為約 43.78 ETH
在團隊調查中,用戶被提醒撤銷授權
Stake DAO 團隊仍在調查事件經過,重點可能包括私鑰如何洩露、配置變更何時發生,以及是否還有其他合約或資產受影響。
在調查推進期間,用戶已被提醒盡快撤銷相關授權,以降低後續風險。對於 DeFi 協議而言,一旦部署權限或跨鏈配置被控制,影響往往會迅速從單一合約擴散到資金轉移和流動性層面。