DeFi lại bùng nổ! Private key của deployer StakeDAO bị rò rỉ, kẻ tấn công đúc khống 5,4 nghìn tỷ vsdCRV trên Arbitrum, đang đổi sang ETH

📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯1482 từ

Công ty bảo mật blockchain Blockaid đã phát hiện Stake DAO đang bị tấn công trên Arbitrum, kẻ tấn công lợi dụng khóa riêng tư của deployer bị rò rỉ, thông qua giao thức cross-chain LayerZero v2 OFT để đúc từ hư không hơn 5,4 nghìn tỷ token vsdCRV (Vote Boosted sdCRV) và đang đổi chúng sang ETH. Blockaid chỉ ra nguyên nhân gốc rễ nghi ngờ là do rò rỉ khóa riêng tư, cuộc tấn công vẫn đang diễn ra. (Bối cảnh trước: Đồng sáng lập OpenZeppelin kêu gọi rút lui khỏi mọi DeFi: AI khiến công và thủ mất cân bằng, ngay cả blue-chip Aave cũng không an toàn) (Bổ sung bối cảnh: Kelp DAO tuyên bố rsETH đã khôi phục hoàn toàn: 5 tuần trước bị hacker Triều Tiên đánh cắp 293 triệu USD) Tóm tắt trọng điểm - Khóa riêng tư của deployer StakeDAO bị hack, kẻ tấn công đã đúc hơn 5,4 nghìn tỷ vsdCRV trên Arbitrum và đổi sang ETH - Thủ đoạn tấn công: Lợi dụng khóa riêng tư bị rò rỉ để cấu hình lại các peer node cross-chain của LayerZero v2 OFT, chuyển hướng tin cậy sang hợp đồng độc hại Công ty bảo mật blockchain Blockaid đã phát đi cảnh báo theo thời gian thực, phát hiện giao thức lợi nhuận DeFi Stake DAO đang bị tấn công liên tục trên Arbitrum. Kẻ tấn công đã đúc hơn 5,4 nghìn tỷ token vsdCRV (Vote Boosted sdCRV) và đang đổi chúng sang ETH. Blockaid xác định nguyên nhân gốc rễ là do khóa riêng tư của deployer StakeDAO (0x000755F…1ff62) bị rò rỉ. Sau khi có được khóa riêng tư này, kẻ tấn công đã gọi hàm setPeer trên hợp đồng token vsdCRV, cấu hình lại thiết lập peer node cross-chain của LayerZero v2 OFT (Omnichain Fungible Token), chuyển hướng mối quan hệ tin cậy vốn dĩ trỏ tới hợp đồng vsdCRVOFTAdapter hợp pháp trên Ethereum mainnet sang hợp đồng độc hại do kẻ tấn công triển khai. Sau khi hoàn tất việc chuyển hướng tin cậy, kẻ tấn công đã thực hiện đúc cross-chain trên Arbitrum, tạo ra một lượng lớn vsdCRV từ hư không và bắt đầu bán tháo. Lại một lỗ hổng cross-chain liên quan đến LayerZero Đây không phải là lần đầu tiên trong năm nay kiến trúc cross-chain của LayerZero trở thành vector tấn công. Tháng 4, Kelp DAO bị hacker Triều Tiên đánh cắp 293 triệu USD, kẻ tấn công cũng đã lợi dụng điểm yếu trong cơ chế xác minh cross-chain của LayerZero. Điểm khác biệt là Kelp DAO bị tấn công ở điểm xác minh đơn lẻ của DVN (Decentralized Verifier Network), còn StakeDAO thì bản thân khóa riêng tư của deployer bị rò rỉ, cho phép kẻ tấn công trực tiếp sửa đổi cấu hình hợp đồng. vsdCRV của StakeDAO là token quản trị thuộc hệ sinh thái Curve, cho phép người nắm giữ sdCRV nâng cao trọng số bỏ phiếu thông qua việc ủy quyền veSDT. Cuộc tấn công lần này vẫn đang diễn ra, số tiền tổn thất cuối cùng phụ thuộc vào việc kẻ tấn công có thể rút ra bao nhiêu ETH từ các pool thanh khoản. Blockaid kêu gọi tất cả người dùng tạm dừng mọi thao tác liên quan đến StakeDAO. Hôm nay đồng sáng lập OpenZeppelin Manuel Araoz vừa công khai tuyên bố "mọi DeFi đều không an toàn", việc khóa riêng tư của deployer StakeDAO bị rò rỉ một lần nữa chứng minh nhận định của ông. Câu hỏi thường gặp Thủ đoạn tấn công StakeDAO lần này là gì? Sau khi có được khóa riêng tư của deployer StakeDAO, kẻ tấn công đã lợi dụng quyền hạn đó để cấu hình lại peer node của hợp đồng cross-chain LayerZero v2 OFT (setPeer), chuyển tin cậy từ hợp đồng hợp pháp phía Ethereum sang hợp đồng độc hại, sau đó đúc từ hư không hơn 5,4 nghìn tỷ vsdCRV trên Arbitrum và đổi sang ETH. vsdCRV là token gì? vsdCRV là token "Vote Boosted sdCRV" của Stake DAO, thuộc hệ thống quản trị của hệ sinh thái Curve. Người nắm giữ có thể nâng cao trọng số bỏ phiếu thông qua việc ủy quyền veSDT, dùng cho việc bỏ phiếu khuyến khích thanh khoản liên quan đến Curve. Cái mà kẻ tấn công đúc là phiên bản cross-chain trên Arbitrum.

Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (動區 BlockTempo)

🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản0 tin

Không tìm thấy sự kiện tương tự (cần thêm mẫu dữ liệu hoặc tìm kiếm embedding, hiện tại là đối chiếu từ khóa MVP)

Thông tin gốc

ID：f08f2cdbf8

Nguồn：動區 BlockTempo

Đăng：2026-05-27 09:50:28

Danh mục：zh_news · Danh mục xuất zh

Tài sản：Chưa chỉ định

Bình chọn cộng đồng：+0 / −0 · ⭐ 0 quan trọng · 💬 0 bình luận