Le contrat StakeDAO sur Arbitrum visé par un exploit de 5.4T vsdCRV
Sentiment IA : 12/100 Baissier
Ce score est généré à partir d’une analyse par IA du contenu de l’article.
propulsé par
Vendez toute position liée au vsdCRV (token vsdCRV, toute exposition dérivée StakeDAO sur Arbitrum). Le contrat présente une faille comptable de type « émission infinie » qui a créé ~5.4T vsdCRV et permis des sorties d'environ ~$91k. Ce type de bug signifie généralement que la comptabilité des parts/récompenses du token est peu fiable tant qu'une correction complète du contrat et une migration propre n'ont pas été démontrées.
Risque clé : Un correctif rapide et crédible ainsi qu'une migration propre rétablissant une émission correcte et permettant au marché de croire que vsdCRV est de nouveau entièrement rachetable.
Prenez une position courte sur l'exposition liée à Curve/Arbitrum en vendant des positions liées à la liquidité CRV (par ex. tokens LP ou parts de vault dépendant de dérivés de staking basés sur Curve). Le chemin d'exploit est passé par des positions de liquidité liées à Curve et des dérivés de staking ; si la comptabilité d'un vault peut être manipulée, des vaults dérivés corrélés peuvent subir une pression de dépeg/retraits et un retrait de liquidité.
Risque clé : L'incident est isolé au contrat vsdCRV spécifique de StakeDAO, sans contagion vers d'autres vaults basés sur Curve et sans impact significatif sur la liquidité ou les prix.
- L'attaque a gonflé l'offre de vsdCRV via une faille d'émission du contrat.
- Environ $91K ont été drainés pendant l'activité d'exploitation.
- Le problème provient d'une comptabilité de staking défaillante sur la plateforme Arbitrum.
Un incident de sécurité a affecté l'infrastructure de StakeDAO sur Arbitrum, des chercheurs ayant identifié une activité anormale liée à son contrat vsdCRV.
L'exploit est lié à une vulnérabilité suspectée d'émission infinie qui aurait pu permettre la création d'une offre extrêmement importante de tokens de staking synthétiques, rapportée à environ 5.4 trillion d'unités vsdCRV.
Les premières analyses indiquent également qu'environ $91,000 de fonds ont été siphonnés pendant l'incident.
L'activité a d'abord été détectée via un comportement on-chain inhabituel impliquant des dérivés de staking liés à des positions de liquidité basées sur Curve.
We are aware of the ongoing situation.
— Stake DAO (@StakeDAOHQ) May 27, 2026
Please do not interact with vsdCRV. https://t.co/3wZhMo52r6
Les mouvements irréguliers de tokens ne correspondaient pas aux schémas attendus de distribution de récompenses, ce qui a incité à un examen approfondi de l'architecture du contrat.
L'exploit porte sur l'émission de vsdCRV et la logique du vault
Le système affecté est le mécanisme vsdCRV de StakeDAO, un dérivé de staking liquide lié aux positions de Curve Finance.
Dans ce dispositif, les utilisateurs déposent des CRV ou des actifs liés à CRV et reçoivent des tokens vsdCRV représentant leur part de pouvoir de staking et de récompenses.
D'après l'analyse on-chain, la vulnérabilité semble provenir du cadre d'émission de tokens et de comptabilité utilisé par le contrat déployé sur Arbitrum.
Les chercheurs estiment que la faille a pu créer un scénario d'« émission infinie » dans lequel le protocole n'a pas correctement restreint l'émission de tokens.
Ce type de vulnérabilité peut apparaître lorsque les calculs d'offre dépendent de variables manipulables telles que les soldes de parts ou les indices de récompense.
Dans ce cas, on pense que l'attaquant a exploité la faiblesse pour gonfler de manière spectaculaire l'offre de vsdCRV, des estimations évoquant un événement d'émission impliquant environ 5.4 trillion de tokens.
The StakeDAO deployer private key (0x000755Fbe4A24d7478bfcFC1E561AfCE82d1ff62) was compromised. The attacker used it to reconfigure the LayerZero v2 OFT peer on the vsdCRV (Vote Boosted sdCRV) token contract, redirecting trust from the legitimate Ethereum-side vsdCRVOFTAdapter to…
— Blockaid (@blockaid_) May 27, 2026
Une fois le solde gonflé créé, il a pu être utilisé pour extraire de la valeur du système de vaults ou fausser le processus de distribution des récompenses du protocole.
L'incident ne semble pas être lié à une compromission de clé privée ou à une attaque au niveau des portefeuilles.
Au contraire, l'analyse préliminaire indique une défaillance dans la comptabilité interne du smart contract, où le système a pu valider incorrectement les conditions d'émission sous des états de transaction spécifiques.
Des fonds drainés tandis que l'exploit reste sous surveillance
Outre l'événement d'inflation des tokens, l'activité on-chain indique qu'environ $91,000 d'actifs ont été déplacés hors des positions affectées pendant la fenêtre d'exploitation.
Les sorties suggèrent que l'attaquant a pu convertir le solde vsdCRV manipulé en valeur transférable avant que l'anomalie ne soit contenue.
L'exploit a été identifié alors que l'activité était encore en cours, les chercheurs continuant de surveiller les interactions du contrat en temps réel.
L'incident fait toujours l'objet d'une enquête tandis que les analystes tentent de déterminer l'ampleur totale de l'exposition.
L'activité s'est concentrée sur Arbitrum, où le déploiement de StakeDAO interagit avec l'infrastructure de liquidité liée à Curve.
La combinaison de dérivés de staking et de systèmes de récompense automatisés a compliqué les efforts visant à isoler immédiatement l'impact complet, en particulier tant que les transactions continuent de se propager dans les pools de liquidité DeFi.
Les conclusions préliminaires pointent vers une défaillance comptable
Les conclusions préliminaires suggèrent que le problème central réside dans la manière dont le contrat calcule les droits d'émission pour vsdCRV.
Dans des systèmes de ce type, l'émission est typiquement liée à un ratio entre les actifs déposés et les parts émises.
Si ce ratio peut être manipulé via des interactions en cas limite ou des mises à jour d'état mal configurées, cela peut créer une ouverture pour une émission de tokens disproportionnée.
Une fois que l'attaquant a déclenché la faille, le contrat semble avoir accepté une transition d'état invalide qui a permis une création excessive de tokens.
Le solde gonflé a ensuite perturbé le cadre de comptabilité interne utilisé par le système de vaults.
Ce type d'exploit est couramment associé aux protocoles DeFi qui s'appuient fortement sur des modèles comptables basés sur les parts sans application stricte d'invariants.
Lorsque ces garde-fous échouent, le système peut traiter à tort des tokens artificiellement créés comme un pouvoir de staking légitime.
Hamster Kombat (HMSTR) : le prix bondit de 47% en un jour — pourquoi
ARB bondit après LG : les haussiers franchiront-ils la résistance à $0.084 ?
Le VVV monte avec l'essor de Venice AI, mais des risques techniques persistent
HYPE bondit de 10% après le lancement de Kalshi et dépasse XRP en open interest
Rallye du marché crypto : pourquoi le Bitcoin et les altcoins montent (12 juin)
Aucun résultat trouvé
Chargement des articles...
Failed to load articles. Please try again.