ETHStake DAO遭受攻击:vsdCRV合约部署者密钥疑似泄露
Stake DAO平台近期因其在Arbitrum网络上的vsdCRV代币遭受持续攻击。区块链安全公司Blockaid指出,攻击者铸造了超过5.4万亿枚vsdCRV,并已开始将其兑换为ETH。
攻击详情与用户警告
Stake DAO已就此次事件发出警告,提示用户切勿与vsdCRV进行任何交互,因攻击行为仍在持续。安全研究人员表示,攻击者在Arbitrum上铸造了约5.4万亿枚vsdCRV后,随即开始转移资金。初步怀疑原因为用于修改LayerZero对等设置的部署者密钥遭到泄露。
Stake DAO官方确认已注意到该情况,并再次强调用户应避免与vsdCRV交互。这一警告发布之际,研究人员正持续追踪攻击者在Arbitrum和以太坊网络上的活动。
攻击手法分析
vsdCRV(即投票加速型sdCRV)与Curve Finance生态系统关联,通常用于Stake DAO的收益产品中。本次事件中,攻击者据称获取了足够权限,铸造了巨额数量的代币,使其成为攻击焦点。
安全公司PeckShield透露,部分已铸造的资金已被兑换为约43.78枚ETH(价值约9.1万美元),并跨链转移至以太坊网络。目前事件仍在发展过程中,最终损失金额可能随着交易追踪的深入而发生变化。
密钥泄露与权限滥用
Blockaid指出,怀疑根本原因在于Stake DAO部署者的私钥遭到泄露。据其分析,攻击者利用该权限重新配置了vsdCRV代币合约的LayerZero v2 OFT对等设置。这一变更据称将原本指向合法以太坊适配器的信任关系,转移至攻击者控制的恶意合约。随后,攻击者发送伪造的跨链消息,触发了约5.44万亿枚vsdCRV的铸造。
另一家安全公司BlockSec将此攻击描述为攻击者获取部署者私钥并为vsdCRV设置任意对等方的案例。该公司表示,伪造的消息随后导致攻击者地址获得无条件铸造权限。
此次事件突显了特权访问在去中心化金融领域中仍是主要风险。即使智能合约代码按设计运行,泄露的部署者密钥仍可能使攻击者有能力更改信任设置并引发损失。
DeFi安全隐忧加剧
Stake DAO攻击事件发生前,DeFi领域已接连出现多起安全事件。此前有报道指出,OpenZeppelin联合创始人Manuel Aráoz公开表示其目前认为“整个DeFi领域”均不安全,并已建议亲友退出DeFi头寸。他认为,代码分析工具正成为发现漏洞的强大手段,而防御方仍需在攻击者发现前修补所有弱点。此番言论发表之际,DeFi协议在四月份因黑客攻击损失约6.297亿美元。
此外,Wasabi Protocol在以太坊、Base、Berachain和Blast网络上损失超过500万美元,原因是攻击者通过泄露的管理员密钥升级合约并转移资金。该案例与当前Stake DAO事件相似,两者均涉及特权密钥访问问题,而非简单的市场操纵事件。Wasabi团队在调查期间也警告用户不要与其合约交互。
跨链风险持续受关注
Stake DAO事件也再次引发对跨链代币风险的关注。2026年的安全报告已多次追踪涉及跨链桥、对等设置及消息验证的攻击事件。
BlockSec五月份的安全汇总报告列出了以太坊、Sui、BNB Chain、Base、Blast和Berachain上的多起事件,两周内总损失约1590万美元。其分析报告亦将Wasabi事件列为密钥泄露典型案例。
今年四月,Kelp DAO遭受了年度规模最大的DeFi攻击之一,攻击者通过基于LayerZero的跨链桥盗取约2.92亿美元资金。该漏洞引发了对超过20个网络的跨链资产支持机制的广泛担忧。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注