Stake DAO 被攻击事件表明了为什么在 DeFi 中“已审计”并不意味着安全

ORIGINALStake DAO Exploit Shows Why “Audited” Doesn’t Mean Safe In DeFi

AI 影响分析Grok 分析中...

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯1976 字

周三发生的 Stake DAO 漏洞利用事件导致该协议的 Arbitrum 部署者密钥遭到泄露。攻击者铸造了约 5.4 万亿枚伪造的 Vote-Boosted sdCRV（vsdCRV）代币，随后通过一个公共路由器将其兑换为 ether。此次入侵绕过了所有已部署的智能合约控制措施。今年以来，单一拥有特权权限的私钥已造成数亿美元的 DeFi 损失。 Stake DAO 漏洞利用事件是如何发生的来自 Blockaid 的链上警报将此次入侵追溯至一个 Stake DAO 部署者钱包。攻击者利用该密钥重置了 vsdCRV 的 LayerZero v2 跨链桥 peer。约 25 秒后，一条伪造的跨链消息在 Arbitrum 上铸造了 5.4 万亿枚 vsdCRV。攻击者通过 MetaMask 的公共路由器将这些代币抛售换取 ether。未发现任何智能合约漏洞。值得注意的是，近期发生在 KelpDAO 上的 LayerZero 漏洞利用事件也是通过类似的 peer 配置滥用方式发生的。熟悉的密钥泄露模式 Stake DAO 漏洞利用事件遵循了与 4 月份 Wasabi Protocol 资金被盗事件相同的套路。一个被入侵的部署者钱包从四条链上的金库中提取了约 450 万美元。同月，Drift Protocol 在 Solana 上损失了 2.85 亿美元。数周后，Arbitrum 的 KelpDAO 冻结事件紧随一起 2.92 亿美元的跨链桥漏洞利用事件之后发生。每个协议都通过了审计。问题不在代码层面，而在于那些用于设置跨链桥 peer 或升级实现的密钥。今年早些时候 Resolv 8000 万美元的铸造事件也符合同样的模式。 "DeFi 在 2026 年必须回答的问题，不再是协议是否经过审计，因为几乎所有协议都通过了审计。问题在于，那些经过审计的合约背后的一小部分操作密钥……是否仍被允许以单一对象的形式存在于一台笔记本电脑上，"Sodot 联合创始人 Shalev Keren 告诉 BeInCrypto，并补充说审计已无法回答这一核心问题。对于 Stake DAO 及其同行而言，多签钱包保护机制需要置于部署者密钥与伪造铸造之间。否则，下一次 DeFi 平台被入侵事件将追溯到一台笔记本电脑，而非糟糕的代码。

数据状态✓ 已抓取全文阅读原文（BeInCrypto）

🔍历史类似事件· 关键词 + 标的比对6 则

2026-04-22

Kelp DAO 遭到的 2.92 亿美元攻击事件表明，为什么 crypto bridges 仍然是该行业最薄弱的环节之一

相似度 200%關鍵字 exploit/why/dao

2026-05-16

2.93亿美元的KelpDAO黑客事件表明，DeFi终于被迫走向成熟

相似度 180%關鍵字 why/defi/shows

2026-05-08

Kelp DAO 遭攻击促使 DeFi 协议重新评估预言机提供商

相似度 180%關鍵字 exploit/defi/dao

2026-04-29

周二的 Cascade 事件表明，随着 DeFi 资金流失加剧，AI 并非 Crypto 面临的真正问题

相似度 150%關鍵字 why/defi/shows

2026-04-27

由 Aave 牽頭的「DeFi United」救援行動籌集了 3 億美元，用於彌補 Kelp DAO 的漏洞損失

相似度 150%關鍵字 exploit/defi/dao

2026-04-20

在 Kelp DAO 橋接漏洞引發 DeFi 混亂後，Aave 可能面臨高達 2.3 億美元的損失

相似度 150%關鍵字 exploit/defi/dao

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：2eac98ab62

来源：BeInCrypto

发布：2026-05-27 11:32:57

分类：一般 · 导出分类 neutral

标的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言