DeFi meledak lagi! Private key deployer StakeDAO bocor, penyerang mencetak 5,4 triliun vsdCRV dari udara kosong di Arbitrum, sedang menukarnya ke ETH

📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯1482 kata

Perusahaan keamanan blockchain Blockaid mendeteksi Stake DAO sedang diserang di Arbitrum, penyerang memanfaatkan private key deployer yang bocor, melalui protokol cross-chain LayerZero v2 OFT mencetak lebih dari 5,4 triliun token vsdCRV (Vote Boosted sdCRV) dari udara kosong, dan sedang menukarnya menjadi ETH. Blockaid menyebutkan dugaan akar penyebabnya adalah kebocoran private key, serangan masih berlangsung. (Konteks sebelumnya: Co-founder OpenZeppelin menyerukan penarikan dari semua DeFi: AI membuat serangan dan pertahanan tidak seimbang, bahkan blue chip Aave pun tidak aman) (Latar belakang tambahan: Kelp DAO mengumumkan rsETH pulih sepenuhnya: 5 minggu lalu dicuri 293 juta dolar oleh hacker Korea Utara) Ringkasan utama - Private key deployer StakeDAO diretas, penyerang mencetak lebih dari 5,4 triliun vsdCRV di Arbitrum dan menukarnya dengan ETH - Metode serangan: memanfaatkan private key yang bocor untuk mengonfigurasi ulang peer node cross-chain LayerZero v2 OFT, mengarahkan kepercayaan ke kontrak berbahaya Perusahaan keamanan blockchain Blockaid mengeluarkan peringatan real-time, mendeteksi protokol yield DeFi Stake DAO sedang mengalami serangan berkelanjutan di Arbitrum. Penyerang telah mencetak lebih dari 5,4 triliun token vsdCRV (Vote Boosted sdCRV), dan sedang menukarnya menjadi ETH. Blockaid menentukan akar penyebabnya adalah kebocoran private key deployer StakeDAO (0x000755F…1ff62). Setelah mendapatkan private key tersebut, penyerang memanggil fungsi setPeer pada kontrak token vsdCRV, mengonfigurasi ulang pengaturan peer node cross-chain LayerZero v2 OFT (Omnichain Fungible Token), mengalihkan hubungan kepercayaan yang semula mengarah ke kontrak vsdCRVOFTAdapter sah di mainnet Ethereum, menjadi mengarah ke kontrak berbahaya yang dikerahkan penyerang. Setelah pengalihan kepercayaan selesai, penyerang menjalankan pencetakan cross-chain di Arbitrum, menghasilkan vsdCRV dalam jumlah besar dari udara kosong dan mulai menjualnya. Sekali lagi celah cross-chain terkait LayerZero Ini bukan pertama kalinya arsitektur cross-chain LayerZero menjadi vektor serangan tahun ini. Pada bulan April, Kelp DAO dicuri 293 juta dolar AS oleh hacker Korea Utara, penyerang juga memanfaatkan kelemahan mekanisme verifikasi cross-chain LayerZero. Bedanya, Kelp DAO adalah verifikator titik tunggal DVN (Decentralized Verifier Network) yang dibobol, sedangkan StakeDAO adalah private key deployer itu sendiri yang bocor, memungkinkan penyerang memodifikasi pengaturan kontrak secara langsung. vsdCRV milik StakeDAO adalah token tata kelola dalam ekosistem Curve, yang memungkinkan pemegang sdCRV meningkatkan bobot suara melalui delegasi veSDT. Serangan ini masih berlangsung, jumlah kerugian akhir bergantung pada seberapa banyak ETH yang dapat ditarik penyerang dari pool likuiditas. Blockaid mengimbau semua pengguna untuk menghentikan semua operasi terkait StakeDAO. Hari ini co-founder OpenZeppelin Manuel Araoz baru saja secara terbuka menyerukan bahwa "semua DeFi tidak aman", kebocoran private key deployer StakeDAO sekali lagi membuktikan penilaiannya. Pertanyaan umum Apa metode serangan StakeDAO kali ini? Setelah mendapatkan private key deployer StakeDAO, penyerang memanfaatkan izin tersebut untuk mengonfigurasi ulang peer node (setPeer) kontrak cross-chain LayerZero v2 OFT, mengalihkan kepercayaan dari kontrak sah sisi Ethereum ke kontrak berbahaya, kemudian mencetak lebih dari 5,4 triliun vsdCRV dari udara kosong di Arbitrum dan menukarnya menjadi ETH. Apa itu token vsdCRV? vsdCRV adalah token "Vote Boosted sdCRV" milik Stake DAO, termasuk dalam sistem tata kelola ekosistem Curve. Pemegangnya dapat meningkatkan bobot suara melalui delegasi veSDT, digunakan untuk pemungutan suara insentif likuiditas terkait Curve. Yang dicetak penyerang adalah versi cross-chain di Arbitrum.

Status data✓ Teks lengkap telah diambilBaca artikel asli (動區 BlockTempo)

🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset0 berita

Tidak ada peristiwa serupa yang ditemukan (memerlukan lebih banyak sampel data atau pencarian embedding, saat ini menggunakan pencocokan kata kunci MVP)

Informasi mentah

ID:f08f2cdbf8

Sumber:動區 BlockTempo

Diterbitkan:2026-05-27 09:50:28

Kategori:zh_news · Kategori ekspor zh

Aset:Tidak ditentukan

Voting komunitas:+0 / −0 · ⭐ 0 Penting · 💬 0 Komentar