Stake DAO 攻擊事件揭示為何「已審計」在 DeFi 中並不代表安全

ORIGINALStake DAO Exploit Shows Why “Audited” Doesn’t Mean Safe In DeFi

AI 影響分析Grok 分析中...

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯1976 字

週三的 Stake DAO 攻擊事件入侵了該協議的 Arbitrum 部署者私鑰。攻擊者鑄造了大約 5.4 兆枚假的 Vote-Boosted sdCRV（vsdCRV）代幣，隨後透過公開路由器將其兌換為 ether。這次入侵繞過了所有現有的智能合約控制機制。今年以來，擁有特權的單一私鑰已造成 DeFi 領域數億美元的損失。 ## Stake DAO 攻擊事件如何發生 Blockaid 的鏈上警報將此次入侵追溯至一個 Stake DAO 部署者錢包。攻擊者利用該私鑰重置了 vsdCRV 的 LayerZero v2 橋接對等節點（peer）。大約 25 秒後，一條偽造的跨鏈訊息在 Arbitrum 上鑄造了 5.4 兆枚 vsdCRV。攻擊者透過 MetaMask 的公開路由器將這些代幣拋售換取 ether。並未發現任何智能合約漏洞。值得注意的是，近期 KelpDAO 遭遇的 LayerZero 攻擊事件也是透過類似的對等節點配置濫用方式進行的。 ## 似曾相識的私鑰洩漏模式 Stake DAO 攻擊事件與 4 月份的 Wasabi Protocol 資金被盜事件如出一轍。當時一個遭入侵的部署者錢包從四條鏈上的金庫中提走了約 450 萬美元。同月，Drift Protocol 在 Solana 上損失了 2.85 億美元。幾週後，Arbitrum 的 KelpDAO 凍結事件接踵而至，其前因是一起 2.92 億美元的橋接攻擊。每個協議都通過了審計。問題出在程式碼之上的層面——出在那些用於設定橋接對等節點或升級實作的私鑰上。今年稍早 Resolv 8000 萬美元的鑄造事件也屬於同一類型。「DeFi 在 2026 年必須回答的問題，已不再是協議是否經過審計，因為幾乎所有協議都做了審計。問題在於，那些經過審計的合約背後的一小組操作私鑰⋯⋯是否仍被允許以單一物件的形式存在於單一筆記型電腦上，」Sodot 共同創辦人 Shalev Keren 向 BeInCrypto 表示，並補充說審計已無法回答這個核心問題。對於 Stake DAO 及其同行而言，多重簽名（multisig）錢包保護機制必須介於部署者私鑰與偽造鑄造之間。否則，下一個 DeFi 平台被攻陷事件，依然會被追溯到一台筆記型電腦，而非糟糕的程式碼。

資料狀態✓ 已擷取全文閱讀原文（BeInCrypto）

🔍歷史類似事件· 關鍵字 + 標的比對6 則

2026-04-22

Kelp DAO 遭駭 2.92 億美元一事顯示，為何 crypto bridges 仍是該產業最脆弱的環節之一

相似度 200%關鍵字 exploit/why/dao

2026-05-16

KelpDAO 遭駭 2.93 億美元一事，顯示出 DeFi 為何終究被迫走向成熟

相似度 180%關鍵字 why/defi/shows

2026-05-08

Kelp DAO 遭駭促使 DeFi 協議重新評估預言機供應商

相似度 180%關鍵字 exploit/defi/dao

2026-04-29

週二的連鎖反應顯示為何 AI 並非 Crypto 的真正問題，而 DeFi 的流失正持續堆積

相似度 150%關鍵字 why/defi/shows

2026-04-27

由 Aave 領軍的「DeFi United」救援行動籌集了 3 億美元，以彌補 Kelp DAO 漏洞攻擊造成的損失

相似度 150%關鍵字 exploit/defi/dao

2026-04-20

在 Kelp DAO 橋接漏洞引發 DeFi 混亂後，Aave 可能面臨高達 2.3 億美元的損失

相似度 150%關鍵字 exploit/defi/dao

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：2eac98ab62

來源：BeInCrypto

發佈：2026-05-27 11:32:57

分類：一般 · 導出分類 neutral

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言