StakeDAOs kontrakt på Arbitrum rammet av 5.4T vsdCRV-eksploit

En sikkerhetshendelse har berørt StakeDAOs infrastruktur på Arbitrum, hvor forskere har identifisert unormal aktivitet knyttet til vsdCRV-kontrakten.

Eksploiten er knyttet til en antatt sårbarhet for ubegrenset minting som kan ha tillatt opprettelsen av en ekstremt stor forsyning av syntetiske staking-tokens, angivelig på omkring 5.4T vsdCRV-enheter.

Tidlig sporing antyder også at omtrent $91,000 ble tappet i løpet av hendelsen.

Aktiviteten ble først oppdaget gjennom uvanlig on-chain-adferd som involverte staking-derivater knyttet til Curve-baserte likviditetsposisjoner.

We are aware of the ongoing situation.
Please do not interact with vsdCRV. https://t.co/3wZhMo52r6
— Stake DAO (@StakeDAOHQ) May 27, 2026

De uregelmessige tokenbevegelsene stemte ikke overens med forventede mønstre for belønningsfordeling, noe som utløste en nærmere gjennomgang av kontraktens arkitektur.

Eksploiten er sentrert rundt minting av vsdCRV og vault-logikk

Det berørte systemet er StakeDAOs vsdCRV-mekanisme, et flytende staking-derivat knyttet til posisjoner i Curve Finance.

I dette oppsettet deponerer brukere CRV eller CRV-tilknyttede eiendeler og mottar vsdCRV-tokens som representerer deres andel av stakingkraft og belønninger.

Ifølge on-chain-analyse ser sårbarheten ut til å stamme fra token-minting og bokføringsrammeverket som kontrakten distribuert på Arbitrum bruker.

Forskere mener feilen kan ha skapt et «infinite mint»-scenario der protokollen ikke klarte å begrense token-utstedelsen på riktig måte.

Denne typen sårbarhet kan oppstå når forsyningsberegninger avhenger av manipulerbare variabler som andelssaldoer eller belønningsindekser.

I dette tilfellet antas angriperen å ha utnyttet svakheten for å blåse opp vsdCRV-forsyningen dramatisk, med estimater som peker på en minting-hendelse som involverte omtrent 5.4T tokens.

The StakeDAO deployer private key (0x000755Fbe4A24d7478bfcFC1E561AfCE82d1ff62) was compromised. The attacker used it to reconfigure the LayerZero v2 OFT peer on the vsdCRV (Vote Boosted sdCRV) token contract, redirecting trust from the legitimate Ethereum-side vsdCRVOFTAdapter to…
— Blockaid (@blockaid_) May 27, 2026

Når den oppblåste saldoen var opprettet, kan den ha blitt brukt til å trekke ut verdi fra vault-systemet eller forvrenge protokollens belønningsfordelingsprosess.

Hendelsen ser ikke ut til å være knyttet til kompromittering av privatnøkkel eller angrep på lommebøtternivå.

I stedet peker foreløpig analyse mot en svikt i smartkontraktens interne bokføring, der systemet kan ha godkjent minting-betingelser feilaktig under spesifikke transaksjonstilstander.

Midler ble flyttet ut mens eksploiten fortsatt overvåkes

Sammen med token-inflasjonen indikerer blockchain-aktivitet at omtrent $91,000 i eiendeler ble flyttet ut av berørte posisjoner i løpet av exploit-vinduet.

Utstrømmingene antyder at angriperen klarte å konvertere den manipulerte vsdCRV-saldoen til overførbar verdi før avviket ble inneholdt.

Eksploiten ble identifisert mens aktiviteten fortsatt pågikk, og forskere fortsatte å overvåke kontraktinteraksjoner i sanntid.

Hendelsen er fortsatt under etterforskning mens analytikere arbeider for å fastslå det fulle omfanget av eksponeringen.

Aktiviteten har vært konsentrert på Arbitrum, hvor StakeDAOs utrulling samhandler med Curve-relatert likviditetsinfrastruktur.

Kombinasjonen av staking-derivater og automatiserte belønningssystemer har gjort det vanskeligere å umiddelbart isolere hele virkningen, særlig mens transaksjoner fortsatt forplanter seg gjennom DeFi-likviditetspooler.

Foreløpige funn peker på bokføringssvikt

Foreløpige funn tyder på at kjerneproblemet ligger i hvordan kontrakten beregner rettigheter til minting av vsdCRV.

I systemer som dette er minting typisk knyttet til et forhold mellom innskutte eiendeler og utstedte andeler.

Hvis dette forholdet kan manipuleres gjennom kanttilfeller eller feilkonfigurerte tilstandsoppdateringer, kan det åpne for uforholdsmessig token-utstedelse.

Når angriperen utløste feilen, ser det ut til at kontrakten aksepterte en ugyldig tilstandsovergang som muliggjorde overdreven token-opprettelse.

Den oppblåste saldoen forstyrret deretter det interne bokføringsrammeverket som brukes av vault-systemet.

Denne typen exploit forbindes ofte med DeFi-protokoller som i stor grad er avhengige av andelsbaserte bokføringsmodeller uten streng håndheving av invarianter.

Når disse sikkerhetsmekanismene svikter, kan systemet feilaktig behandle kunstig opprettede tokens som legitim stakingkraft.