StakeDAO-contract op Arbitrum getroffen door 5.4T vsdCRV-exploit
AI-sentiment: 12/100 Bearish
Deze score wordt gegenereerd op basis van een AI-gestuurde analyse van de inhoud van het artikel.
mogelijk gemaakt door
Verkoop alle vsdCRV-gerelateerde posities (vsdCRV-token, alle StakeDAO-derivatenblootstelling op Arbitrum). Het contract vertoont een "infinite mint"-achtige boekhoudfout die ~5.4T vsdCRV creëerde en ~$91k aan uitstromen mogelijk maakte. Dat soort bug betekent meestal dat de share-/beloningsboekhouding van de token onbetrouwbaar is totdat een volledige contractfix + migratie is aangetoond.
Belangrijkste risico: Een snelle, geloofwaardige patch plus een schone migratie die correcte minting herstelt en de markt overtuigt dat vsdCRV weer volledig inwisselbaar is.
Short het risico van Curve/Arbitrum staking-derivaten door CRV-gekoppelde liquiditeitsblootstelling te verkopen (bijv. LP-tokens of vault-shares die afhankelijk zijn van Curve-gebaseerde staking-derivaten). Het exploitpad liep via Curve-gerelateerde liquiditeitsposities en staking-derivaten; als het boekhoudsysteem van één vault kan worden gemanipuleerd, kunnen gecorreleerde derivatenvaults een depeg/opname-druk en een terugloop in liquiditeit ervaren.
Belangrijkste risico: Dat het incident beperkt blijft tot StakeDAO’s specifieke vsdCRV-contract, zonder besmetting naar andere Curve-gebaseerde vaults en zonder noemenswaardige liquiditeits- of prijsimpact.
- De aanval blies de vsdCRV-voorraad op via een minting-fout in het contract.
- Ongeveer $91K werd weggevloeid tijdens de exploit-activiteit.
- Het probleem vloeit voort uit gebrekkige staking-boekhouding op het Arbitrum-platform.
Een beveiligingsincident heeft StakeDAO's infrastructuur op Arbitrum getroffen, waarbij onderzoekers abnormale activiteit hebben geïdentificeerd die verband houdt met het vsdCRV-contract.
De exploit wordt in verband gebracht met een vermoedelijke "infinite minting"-kwetsbaarheid die mogelijk het ontstaan van een extreem grote voorraad synthetische staking-tokens heeft toegestaan, naar verluidt ongeveer 5.4 biljoen vsdCRV-eenheden.
Vroege tracking suggereert ook dat ruwweg $91,000 aan fondsen tijdens het incident is weggevloeid.
De activiteit werd aanvankelijk gedetecteerd via afwijkend on-chain gedrag met betrekking tot staking-derivaten die verbonden zijn met Curve-gebaseerde liquiditeitsposities.
We are aware of the ongoing situation.
— Stake DAO (@StakeDAOHQ) May 27, 2026
Please do not interact with vsdCRV. https://t.co/3wZhMo52r6
De onregelmatige tokenbewegingen kwamen niet overeen met de verwachte patronen van beloningsdistributie, wat aanleiding gaf tot een nadere beoordeling van de contractarchitectuur.
Exploit richt zich op vsdCRV-uitgifte en kluislogica
Het getroffen systeem is het vsdCRV-mechanisme van StakeDAO, een liquid-staking-derivaat gekoppeld aan Curve Finance-posities.
In deze opzet storten gebruikers CRV of CRV-gekoppelde activa en ontvangen zij vsdCRV-tokens die hun aandeel in staking-vermogen en beloningen vertegenwoordigen.
Volgens on-chainanalyse lijkt de kwetsbaarheid te ontstaan uit het tokenuitgifte- en boekhoudingskader dat door het contract op Arbitrum wordt gebruikt.
Onderzoekers denken dat de fout een "infinite mint"-scenario kan hebben gecreëerd waarin het protocol tokenuitgifte niet adequaat heeft beperkt.
Dit type kwetsbaarheid kan ontstaan wanneer voorraadberekeningen afhangen van manipuleerbare variabelen zoals sharesaldo's of beloningsindexen.
In dit geval wordt aangenomen dat de aanvaller de zwakke plek heeft benut om de vsdCRV-voorraad dramatisch op te blazen, met schattingen die wijzen op een minting-evenement van ongeveer 5.4 biljoen tokens.
The StakeDAO deployer private key (0x000755Fbe4A24d7478bfcFC1E561AfCE82d1ff62) was compromised. The attacker used it to reconfigure the LayerZero v2 OFT peer on the vsdCRV (Vote Boosted sdCRV) token contract, redirecting trust from the legitimate Ethereum-side vsdCRVOFTAdapter to…
— Blockaid (@blockaid_) May 27, 2026
Zodra het opgeblazen saldo was gecreëerd, kan het zijn gebruikt om waarde uit het kluissysteem te halen of het beloningsdistributieproces van het protocol te vervormen.
Het incident lijkt niet te wijten aan een compromittering van private keys of een aanval op walletniveau.
In plaats daarvan wijst voorlopige analyse op een falen in de interne boekhouding van het smart contract, waarbij het systeem minting-condities mogelijk onjuist heeft gevalideerd onder specifieke transactiestaten.
Fondsen weggevloeid terwijl exploit nog wordt gemonitord
Naast het tokeninflatie-evenement geeft blockchainactiviteit aan dat ongeveer $91,000 aan activa tijdens het exploit-venster uit getroffen posities is verplaatst.
De uitstromen suggereren dat de aanvaller erin slaagde het gemanipuleerde vsdCRV-saldo om te zetten in overdraagbare waarde voordat de anomalie werd ingeperkt.
De exploit werd geïdentificeerd terwijl de activiteit nog aan de gang was, waarbij onderzoekers de contractinteracties in realtime blijven monitoren.
Het incident wordt nog onderzocht terwijl analisten werken om de volledige omvang van de blootstelling vast te stellen.
De activiteit concentreerde zich op Arbitrum, waar de implementatie van StakeDAO interactie heeft met Curve-gerelateerde liquiditeitsinfrastructuur.
De combinatie van staking-derivaten en geautomatiseerde beloningssystemen bemoeilijkt pogingen om de volledige impact onmiddellijk te isoleren, vooral nu transacties blijven doorstromen via DeFi-liquiditypools.
Voorlopige bevindingen wijzen op boekhoudkundig falen
Voorlopige bevindingen suggereren dat het kernprobleem ligt in hoe het contract de uitgifterechten voor vsdCRV berekent.
In systemen als deze is minting doorgaans gekoppeld aan een verhouding tussen gestorte activa en uitgegeven shares.
Als die verhouding kan worden gemanipuleerd door randgevallen of misgeconfigureerde statusupdates, kan dat een opening creëren voor een onevenredige tokenuitgifte.
Zodra de aanvaller de fout activeerde, lijkt het contract een ongeldige statusovergang te hebben geaccepteerd die buitensporige tokencreatie mogelijk maakte.
Het opgeblazen saldo verstoorde vervolgens het interne boekhoudkundige kader dat door het kluissysteem werd gebruikt.
Dit type exploit wordt vaak geassocieerd met DeFi-protocollen die sterk leunen op op-shares-gebaseerde boekhoudmodellen zonder strikte afdwinging van invarianten.
Wanneer die waarborgen falen, kan het systeem kunstmatig gecreëerde tokens ten onrechte behandelen als legitiem stakingvermogen.
Hamster Kombat (HMSTR)-prijs stijgt 47% in één dag: waarom de crypto omhooggaat
ARB-prijs stijgt door LG-nieuws: kunnen bulls de neklijnweerstand bij $0.084 doorbreken?
VVV-prijs stijgt door toename Venice AI-gebruikers, maar belangrijke technische risico's blijven
HYPE stijgt 10% na Kalshi-lancering, voorbij XRP in futures-open interest
Crypto-marktrally: waarom Bitcoin en altcoins stijgen (12 juni)
Geen resultaten gevonden
Artikelen laden...
Failed to load articles. Please try again.