Vụ khai thác Stake DAO cho thấy lý do tại sao “được kiểm toán” không có nghĩa là an toàn trong DeFi

ORIGINALStake DAO Exploit Shows Why “Audited” Doesn’t Mean Safe In DeFi

Phân tích tác động AIGrok đang phân tích...

📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯1976 từ

Vụ khai thác Stake DAO vào thứ Tư đã làm tổn hại đến khóa deployer Arbitrum của giao thức. Một kẻ tấn công đã đúc khoảng 5,4 nghìn tỷ token vsdCRV giả trước khi đổi chúng lấy ether thông qua một bộ định tuyến công khai. Vụ vi phạm đã vượt qua mọi biện pháp kiểm soát smart-contract hiện có. Một khóa cá nhân duy nhất với các quyền đặc quyền đã gây ra khoản lỗ hàng trăm triệu trong DeFi năm nay. Cách thức vụ khai thác Stake DAO xảy ra Các cảnh báo on-chain từ Blockaid đã truy vết vụ vi phạm đến ví deployer của Stake DAO. Kẻ tấn công đã sử dụng khóa này để đặt lại peer bridge LayerZero v2 cho vsdCRV. Khoảng 25 giây sau, một thông báo cross-chain giả mạo đã đúc 5,4 nghìn tỷ vsdCRV trên Arbitrum. Kẻ tấn công đã xả các token này để lấy ether thông qua bộ định tuyến công khai của MetaMask. Không có lỗ hổng smart-contract nào được tìm thấy. Đáng chú ý, một vụ khai thác LayerZero gần đây trên KelpDAO đã xảy ra thông qua việc lạm dụng cấu hình peer tương tự. Một mô hình quen thuộc về việc thỏa hiệp khóa Vụ khai thác Stake DAO tuân theo cùng một khuôn mẫu như vụ rút tiền của Wasabi Protocol vào tháng Tư. Một ví deployer bị xâm nhập đã rút khoảng 4,5 triệu USD từ các vault trên bốn chain. Drift Protocol đã mất 285 triệu USD trên Solana cùng tháng đó. Vụ đóng băng KelpDAO của Arbitrum diễn ra sau một vụ khai thác bridge trị giá 292 triệu USD vài tuần sau đó. Mỗi giao thức đều đã vượt qua các cuộc kiểm toán. Sự thất bại nằm ở phía trên mã nguồn, trong các khóa thiết lập bridge peer hoặc nâng cấp triển khai. Vụ đúc tiền trị giá 80 triệu USD của Resolv đầu năm nay cũng đi theo khuôn mẫu tương tự. “Câu hỏi mà DeFi phải trả lời vào năm 2026 không còn là liệu các giao thức có được kiểm toán hay không, vì hầu hết chúng đều được kiểm toán. Đó là liệu tập hợp nhỏ các khóa vận hành đằng sau các hợp đồng đã được kiểm toán đó… có còn được phép tồn tại như một đối tượng duy nhất trên một máy tính xách tay duy nhất hay không,” đồng sáng lập Sodot, Shalev Keren, nói với BeInCrypto, đồng thời nói thêm rằng các cuộc kiểm toán không còn trả lời được câu hỏi trọng tâm này. Đối với Stake DAO và các giao thức tương tự, các biện pháp bảo vệ ví multisig cần phải nằm giữa các khóa deployer và các đợt đúc tiền giả mạo. Nếu không, vụ xâm nhập nền tảng DeFi tiếp theo sẽ bắt nguồn từ một máy tính xách tay duy nhất, chứ không phải do mã nguồn tồi.

Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (BeInCrypto)

🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản6 tin

2026-04-22

Vụ khai thác Kelp DAO trị giá 292 triệu USD cho thấy lý do tại sao các crypto bridge vẫn là một trong những mắt xích yếu nhất của ngành.

Độ tương đồng 200%關鍵字 exploit/why/dao

2026-05-16

Vụ hack 293 triệu USD của KelpDAO cho thấy lý do tại sao DeFi cuối cùng cũng buộc phải trưởng thành

Độ tương đồng 180%關鍵字 why/defi/shows

2026-05-08

Kelp DAO bị tấn công khiến các giao thức DeFi phải xem xét lại các nhà cung cấp oracle

Độ tương đồng 180%關鍵字 exploit/defi/dao

2026-04-29