Arbitrum-pohjainen StakeDAO-sopimus koki 5.4T vsdCRV-hyväksikäytön
Tekoälysentimentti: 12/100 Laskusuunta
Tämä pistemäärä luodaan tekoälyllä toteutetulla analyysillä artikkelin sisällöstä.
palvelun tarjoaa
Myy kaikki vsdCRV:hen liittyvät positiosi (vsdCRV-token, kaikki StakeDAO-derivaatteihin Arbitrumissa liittyvä altistus). Sopimuksessa on ilmennyt ”infinite mint” -tyylinen kirjanpitovirhe, joka loi ~5.4T vsdCRV:tä ja mahdollisti noin ~$91k ulosvirtausta. Tällainen bugi tarkoittaa yleensä, että tokenin osuus- ja palkkiokirjanpito on epäluotettava, kunnes täysi sopimuskorjaus ja migraatio on todistettu.
Keskeinen riski: Nopea, uskottava korjaus sekä puhdas migraatio, joka palauttaa oikean minttauksen ja saa markkinat uskomaan, että vsdCRV on jälleen täysin lunastettavissa.
Shorttaa Curve/Arbitrum-steikkausjohdannaisriskiä myymällä CRV:hen sidottua likviditeettialtistus (esim. LP-tokenit tai vault-osuudet, jotka riippuvat Curve-pohjaisista steikkausjohdannaisista). Hyökkäysreitti kulki Curve-liikviditeettipositioiden ja steikkausjohdannaisten kautta; jos yhden vaultin kirjanpitoa voidaan manipuloida, korreloivat derivaat-vaultit voivat kohdata depeg-/nostopaineita ja likviditeetin vetäytymistä.
Keskeinen riski: Tapaus rajoittuu StakeDAO:n tiettyyn vsdCRV-sopimukseen ilman tartuntaa muihin Curve-pohjaisiin vaultteihin ja ilman merkittävää likviditeetti- tai hintavaikutusta.
- Hyökkäys paisutti vsdCRV-tarjontaa sopimusminttauksen virheen kautta.
- Noin $91K tyhjennettiin hyväksikäyttötoiminnan aikana.
- Ongelma johtuu virheellisestä steikkauksen kirjanpidosta Arbitrum-alustalla.
Turvallisuuspoikkeama on vaikuttanut StakeDAO:n Arbitrum-infrastruktuuriin, ja tutkijat ovat tunnistaneet epätavallista toimintaa, joka liittyy sen vsdCRV-sopimukseen.
Hyväksikäyttö liittyy epäiltyyn äärettömään minttaukseen, joka on saattanut mahdollistaa erittäin suuren määrän synteettisiä steikkaustokeneita — raportoidusti noin 5,4 biljoonaa vsdCRV-yksikköä.
Varhaiset seurantaraportit viittaavat myös siihen, että noin $91,000 varoja tyhjennettiin tapahtuman aikana.
Toiminta havaittiin ensin epätavallisena ketjukäyttäytymisenä, joka liittyi Curve-pohjaisiin likviditeettiasemiin ja niihin kytkeytyviin steikkausjohdannaisiin.
We are aware of the ongoing situation.
— Stake DAO (@StakeDAOHQ) May 27, 2026
Please do not interact with vsdCRV. https://t.co/3wZhMo52r6
Token-liikkeet poikkesivat odotetuista palkkioidenjakomalleista, mikä johti sopimusrakenteen tarkempaan tarkasteluun.
Hyväksikäyttö keskittyy vsdCRV:n minttauksen ja vault-logiikan ongelmiin
Vaikutetun järjestelmän ydin on StakeDAO:n vsdCRV-mekanismi, likvidi steikkausjohdannainen, joka liittyy Curve Finance -positioihin.
Tässä järjestelyssä käyttäjät tallettavat CRV:tä tai CRV:hen sidottuja omaisuuseriä ja saavat vastineeksi vsdCRV-tokeneita, jotka edustavat heidän osuuttaan steikkausvoimasta ja palkkioista.
Ketjuanalyysin mukaan haavoittuvuus näyttäisi johtuvan Arbitrumiin sijoitetun sopimuksen token-minttauksen ja kirjanpidon kehikosta.
Tutkijoiden mukaan virhe on voinut luoda niin sanotun “infinite mint” -tilanteen, jossa protokolla ei rajoittanut tokenien liikkeeseenlaskua oikein.
Tällainen haavoittuvuus voi syntyä, kun tarjantalaskelmat riippuvat manipuloitavissa olevista muuttujista, kuten osuustasoista tai palkkioindekseistä.
Tässä tapauksessa hyökkääjän uskotaan käyttäneen heikkoutta hyväkseen paisuttaakseen vsdCRV-tarjontaa dramaattisesti — arvioiden mukaan minttaus tapahtui noin 5,4 biljoonan tokenin laajuisena.
The StakeDAO deployer private key (0x000755Fbe4A24d7478bfcFC1E561AfCE82d1ff62) was compromised. The attacker used it to reconfigure the LayerZero v2 OFT peer on the vsdCRV (Vote Boosted sdCRV) token contract, redirecting trust from the legitimate Ethereum-side vsdCRVOFTAdapter to…
— Blockaid (@blockaid_) May 27, 2026
Kun paisutettu saldo oli luotu, sitä on voitu käyttää arvon ottamiseen vault-järjestelmästä tai vääristämään protokollan palkkioidenjakoprosessia.
Tapaus ei vaikuta liittyvän yksityisavaimen vaarantumiseen tai lompakkotason hyökkäykseen.
Sen sijaan alustavat analyysit viittaavat älysopimuksen sisäisen kirjanpidon virheeseen, jossa järjestelmä ei ole ehkä tarkistanut minttausolosuhteita oikein tietyissä tapahtumatiloissa.
Varat tyhjennetty, hyväksikäyttöä seurataan yhä
Token-tasauspaisutuksen lisäksi lohkoketjun toiminta osoittaa, että noin $91,000 omaisuutta siirrettiin vaikutettujen positioiden ulkopuolelle hyväksikäyttöikkunan aikana.
Virtausten perusteella hyökkääjä onnistui ilmeisesti muuttamaan manipuloidun vsdCRV-saldon siirrettävään arvoon ennen kuin poikkeama saatiin hallintaan.
Hyväksikäyttö tunnistettiin vielä ollessaan käynnissä, ja tutkijat seuraavat sopimusinteraktioita reaaliajassa.
Tapaus on edelleen tutkinnan alla, kun analyytikot pyrkivät määrittämään kokonaisaltistuksen laajuuden.
Toiminta on keskittynyt Arbitrumiin, jossa StakeDAO:n käyttöönotto on vuorovaikutuksessa Curveen liittyvän likviditeetti-infrastruktuurin kanssa.
Steikkausjohdannaisten ja automaattisten palkkiojärjestelmien yhdistelmä on vaikeuttanut täyden vaikutuksen eristämistä, erityisesti kun tapahtumat jatkavat leviämistään DeFi-likviditeettialtaiden kautta.
Alustavat havainnot viittaavat kirjanpitovirheeseen
Alustavat havainnot viittaavat siihen, että ydinongelma liittyy siihen, miten sopimus laskee vsdCRV:n minttaus- ja oikeusperusteet.
Tällaisissa järjestelmissä minttaus kytketään tyypillisesti talletettujen varojen ja liikkeeseen lasketun osuuden suhteeseen.
Jos tätä suhdetta voidaan manipuloida reunatapainteraktioilla tai virheellisesti konfiguroiduilla tilapäivityksillä, se voi avata mahdollisuuden suhteettomaan tokenien liikkeeseenlaskuun.
Kun hyökkääjä laukaisi virheen, sopimuksen näyttää hyväksyneen virheellisen tilasiirtymän, joka mahdollisti liiallisen token-luonnin.
Paisutettu saldo häiritsi sen jälkeen vault-järjestelmän sisäistä kirjanpitokehikkoa.
Tällaiseen hyväksikäyttöön liittyy tyypillisesti DeFi-protokollia, jotka nojaavat voimakkaasti osuusperusteisiin kirjanpitomalleihin ilman tiukkaa invarianttien valvontaa.
Kun suojamekanismit epäonnistuvat, järjestelmä voi virheellisesti käsitellä keinotekoisesti luotuja tokeneita laillisena steikkausvoimana.
Hamster Kombat (HMSTR) -kurssi pomppasi 47 % päivässä: miksi se nousee
ARB:n hinta nousi LG-uutisesta: voivatko ostajat murtaa $0.084 kaulalinjan vastuksen?
VVV:n kurssi nousee Venicen AI-käyttäjien kasvun myötä – tekniset riskit säilyvät
HYPE nousee 10 % — Kalshin lanseeraus ohitti XRP:n futuurien avoimissa positioissa
Kryptomarkkinoiden nousu: miksi Bitcoin ja altcoinit nousevat (12. kesäkuuta)
Tuloksia ei löytynyt
Ladataan artikkeleita...
Failed to load articles. Please try again.