Kontrakt StakeDAO na Arbitrum zaatakowany przez exploit 5,4 bln vsdCRV

Incydent bezpieczeństwa dotknął infrastrukturę StakeDAO na Arbitrum, a badacze zidentyfikowali anomalną aktywność związaną z kontraktem vsdCRV.

Exploit wiąże się z podejrzaną podatnością na nieograniczoną emisję, która mogła umożliwić stworzenie ekstremalnie dużej podaży syntetycznych tokenów stakingowych — według doniesień około 5,4 bln jednostek vsdCRV.

Wstępne śledztwo sugeruje również, że w trakcie incydentu wyprowadzono około $91,000 środków.

Aktywność wykryto po raz pierwszy dzięki nietypowemu zachowaniu on-chain dotyczącym derywatów stakingowych powiązanych z pozycjami płynności opartymi na Curve.

We are aware of the ongoing situation.
Please do not interact with vsdCRV. https://t.co/3wZhMo52r6
— Stake DAO (@StakeDAOHQ) May 27, 2026

Nieregularne przemieszczenia tokenów nie odpowiadały oczekiwanym wzorcom dystrybucji nagród, co skłoniło do dokładniejszej analizy architektury kontraktu.

Eksploit koncentruje się na emisji vsdCRV i logice skarbca

Dotkniętym systemem jest mechanizm vsdCRV StakeDAO — płynny derywat stakingowy powiązany z pozycjami na Curve Finance.

W tym modelu użytkownicy deponują CRV lub aktywa powiązane z CRV i otrzymują tokeny vsdCRV reprezentujące ich udział w mocy stakingu i nagrodach.

Zgodnie z analizą on-chain, podatność wydaje się wynikać z mechanizmu emisji tokenów i systemu rozliczeń stosowanego przez kontrakt wdrożony na Arbitrum.

Badacze uważają, że luka mogła stworzyć scenariusz „nieograniczonej emisji”, w którym protokół nie ograniczał prawidłowo wydawania tokenów.

Tego typu podatność może powstać, gdy obliczenia podaży zależą od zmiennych podatnych na manipulację, takich jak salda udziałów czy indeksy nagród.

W tym przypadku przypuszcza się, że atakujący wykorzystał słabość, aby drastycznie napompować podaż vsdCRV; szacunki wskazują na emisję obejmującą około 5,4 bln tokenów.

The StakeDAO deployer private key (0x000755Fbe4A24d7478bfcFC1E561AfCE82d1ff62) was compromised. The attacker used it to reconfigure the LayerZero v2 OFT peer on the vsdCRV (Vote Boosted sdCRV) token contract, redirecting trust from the legitimate Ethereum-side vsdCRVOFTAdapter to…
— Blockaid (@blockaid_) May 27, 2026

Gdy nadmuchane saldo zostało utworzone, mogło zostać użyte do wyciągnięcia wartości ze systemu skarbcowego (vault) lub zniekształcenia procesu dystrybucji nagród protokołu.

Incydent nie wydaje się być związany z kompromitacją klucza prywatnego ani atakiem na poziomie portfela.

Zamiast tego wstępna analiza wskazuje na awarię wewnętrznego rozliczania w smart kontrakcie, gdzie system mógł nieprawidłowo weryfikować warunki emisji w specyficznych stanach transakcji.

Środki wyprowadzono, exploit pozostaje pod obserwacją

Obok zdarzenia nadmiernej emisji, aktywność w łańcuchu bloków wskazuje, że w oknie exploitu z pozycji dotkniętych przeniesiono około $91,000 aktywów.

Wypływy sugerują, że atakujący zdołał zamienić zmanipulowane saldo vsdCRV na wartość transferowalną, zanim anomalia została opanowana.

Exploit wykryto w trakcie trwającej aktywności; badacze nadal monitorują interakcje kontraktu w czasie rzeczywistym.

Incydent pozostaje w fazie dochodzenia, podczas gdy analitycy pracują nad określeniem pełnego zakresu ekspozycji.

Działania skoncentrowały się na Arbitrum, gdzie wdrożenie StakeDAO współdziała z infrastrukturą płynności powiązaną z Curve.

Połączenie derywatów stakingowych i zautomatyzowanych systemów nagród utrudniło natychmiastowe wyizolowanie pełnego wpływu, szczególnie gdy transakcje nadal propagują się przez pule płynności DeFi.

Wstępne ustalenia wskazują na awarię rozliczeń

Wstępne ustalenia sugerują, że zasadniczy problem leży w sposobie, w jaki kontrakt oblicza prawa emisji vsdCRV.

W takich systemach emisja zwykle jest powiązana z proporcją między zdeponowanymi aktywami a wydanymi udziałami.

Jeżeli tę proporcję da się zmanipulować poprzez interakcje na krawędzi przypadków użycia lub błędnie skonfigurowane aktualizacje stanu, może to stworzyć lukę umożliwiającą nadmierną emisję tokenów.

Gdy atakujący wywołał lukę, kontrakt najwyraźniej zaakceptował nieprawidłową zmianę stanu, która umożliwiła nadmierne tworzenie tokenów.

Nadmuchane saldo następnie zakłóciło wewnętrzny system rozliczeń używany przez system skarbcowy.

Ten rodzaj exploitu jest powszechnie powiązany z protokołami DeFi, które silnie polegają na modelach rozliczeń opartych na udziałach bez ścisłego egzekwowania niezmienników.

Gdy te zabezpieczenia zawodzą, system może błędnie traktować sztucznie stworzone tokeny jako prawowitą moc stakingu.