Contrato da StakeDAO no Arbitrum atingido por exploit de 5.4T de vsdCRV
AI Sentiment: 12/100 Bearish
This score is generated through AI-driven analysis of the article's content.
powered by
Vender quaisquer posições relacionadas a vsdCRV (token vsdCRV, qualquer exposição a derivativos da StakeDAO no Arbitrum). O contrato mostra uma falha contábil do tipo “cunhagem infinita” que criou ~5.4T vsdCRV e permitiu fluxos de saída de cerca de ~$91k. Esse tipo de bug geralmente indica que a contabilização de participações/recompensas do token é pouco confiável até que uma correção completa do contrato e uma migração comprovadamente limpa sejam realizadas.
Key Risk: Uma correção rápida e credível mais uma migração limpa que restaure a cunhagem correta e faça o mercado acreditar que o vsdCRV é novamente totalmente resgatável.
Operar vendido o risco de derivativos de staking Curve/Arbitrum vendendo exposição de liquidez vinculada ao CRV (por exemplo, tokens de LP ou participações em vaults que dependem de derivativos de staking baseados na Curve). O caminho do exploit passou por posições de liquidez relacionadas à Curve e derivativos de staking; se a contabilidade de um vault puder ser manipulada, vaults derivados correlacionados podem sofrer pressão de descolamento/saque e retração de liquidez.
Key Risk: O incidente é isolado ao contrato vsdCRV específico da StakeDAO, sem contágio para outros vaults baseados na Curve e sem impacto significativo na liquidez/preço.
- O ataque inflou a oferta de vsdCRV via falha de cunhagem no contrato.
- Cerca de $91K foram drenados durante a atividade do exploit.
- A questão decorre de contabilidade de staking defeituosa na plataforma Arbitrum.
Um incidente de segurança afetou a infraestrutura da StakeDAO no Arbitrum, com pesquisadores identificando atividade anômala ligada ao seu contrato vsdCRV.
O exploit está ligado a uma suspeita vulnerabilidade de cunhagem infinita que pode ter permitido a criação de um suprimento extremamente grande de tokens sintéticos de staking, segundo relatos cerca de 5.4 trilhões de unidades vsdCRV.
Rastreamento inicial também sugere que aproximadamente $91,000 em fundos foram drenados durante o incidente.
A atividade foi detectada primeiramente por comportamento on-chain incomum envolvendo derivativos de staking conectados a posições de liquidez baseadas na Curve.
We are aware of the ongoing situation.
— Stake DAO (@StakeDAOHQ) May 27, 2026
Please do not interact with vsdCRV. https://t.co/3wZhMo52r6
Os movimentos irregulares de tokens não correspondiam aos padrões esperados de distribuição de recompensas, o que motivou uma revisão mais aprofundada da arquitetura do contrato.
Exploração foca na cunhagem de vsdCRV e na lógica dos cofres
O sistema afetado é o mecanismo vsdCRV da StakeDAO, um derivativo de staking líquido vinculado a posições na Curve Finance.
Nesse arranjo, usuários depositam CRV ou ativos ligados ao CRV e recebem tokens vsdCRV que representam sua parcela de poder de staking e recompensas.
De acordo com análise on-chain, a vulnerabilidade aparenta originar-se do framework de cunhagem e contabilização usado pelo contrato implantado no Arbitrum.
Pesquisadores acreditam que a falha pode ter criado um cenário de "cunhagem infinita" no qual o protocolo não restringiu adequadamente a emissão de tokens.
Esse tipo de vulnerabilidade pode surgir quando cálculos de oferta dependem de variáveis manipuláveis, como saldos de participação ou índices de recompensa.
Neste caso, acredita-se que o atacante explorou a fragilidade para inflar dramaticamente a oferta de vsdCRV, com estimativas apontando para um evento de cunhagem envolvendo aproximadamente 5.4 trilhões de tokens.
The StakeDAO deployer private key (0x000755Fbe4A24d7478bfcFC1E561AfCE82d1ff62) was compromised. The attacker used it to reconfigure the LayerZero v2 OFT peer on the vsdCRV (Vote Boosted sdCRV) token contract, redirecting trust from the legitimate Ethereum-side vsdCRVOFTAdapter to…
— Blockaid (@blockaid_) May 27, 2026
Uma vez criado o saldo inflado, ele pode ter sido utilizado para extrair valor do sistema de cofres ou distorcer o processo de distribuição de recompensas do protocolo.
O incidente não aparenta estar relacionado ao comprometimento de chaves privadas ou a um ataque a nível de carteira.
Em vez disso, análises preliminares apontam para uma falha na contabilidade interna do smart contract, onde o sistema pode ter validado incorretamente condições de cunhagem sob estados específicos de transação.
Fundos drenados enquanto exploração segue sendo monitorada
Paralelamente ao evento de inflação de tokens, a atividade na blockchain indica que cerca de $91,000 em ativos foram movidos para fora das posições afetadas durante a janela do exploit.
Os fluxos de saída sugerem que o atacante conseguiu converter o saldo manipulado de vsdCRV em valor transferível antes que a anomalia fosse contida.
O exploit foi identificado enquanto a atividade ainda estava em curso, com pesquisadores continuando a monitorar interações do contrato em tempo real.
O incidente permanece sob investigação enquanto analistas trabalham para determinar o escopo total da exposição.
A atividade concentrou-se no Arbitrum, onde a implantação da StakeDAO interage com infraestrutura de liquidez relacionada à Curve.
A combinação de derivativos de staking e sistemas automatizados de recompensa complicou os esforços para isolar imediatamente o impacto total, sobretudo enquanto transações continuam a propagar-se por pools de liquidez DeFi.
Achados preliminares apontam para falha contábil
Achados preliminares sugerem que a questão central reside em como o contrato calcula os direitos de cunhagem para vsdCRV.
Em sistemas como este, a cunhagem é tipicamente vinculada a uma razão entre ativos depositados e participações emitidas.
Se essa razão puder ser manipulada por interações de caso extremo ou atualizações de estado mal configuradas, isso pode criar uma abertura para emissão desproporcional de tokens.
Uma vez que o atacante acionou a falha, o contrato aparenta ter aceitado uma transição de estado inválida que possibilitou a criação excessiva de tokens.
O saldo inflado então perturbou o framework contábil interno usado pelo sistema de cofres.
Esse tipo de exploit está comumente associado a protocolos DeFi que dependem fortemente de modelos contábeis baseados em participações sem aplicação rígida de invariantes.
Quando essas salvaguardas falham, o sistema pode tratar incorretamente tokens criados artificialmente como poder de staking legítimo.
Hamster Kombat (HMSTR) salta 47% em um dia: por que a cripto está subindo
Preço do ARB sobe com notícia da LG: touros conseguem romper resistência em $0.084?
Preço do VVV sobe com mais usuários do Venice AI, mas riscos técnicos persistem
HYPE sobe 10% após lançamento da Kalshi e ultrapassa XRP em posições em aberto
Rali do mercado cripto: Por que Bitcoin e altcoins estão subindo (12 de junho)
No results found
Loading articles...
Failed to load articles. Please try again.