Exploit vsdCRV de 5.4T lovește contractul StakeDAO pe Arbitrum
Sentiment IA: 12/100 Pesimist
Acest scor este generat prin analiza conținutului articolului asistată de inteligență artificială.
oferit de
Vindeți orice poziții legate de vsdCRV (tokenul vsdCRV, orice expunere la derivate StakeDAO pe Arbitrum). Contractul prezintă o eroare de tip „emitere infinită” care a creat ~5.4T vsdCRV și a permis ieșiri de aproximativ ~$91k. Acest tip de bug în general înseamnă că contabilitatea legată de share-uri și recompense a tokenului este nesigură până când se demonstrează o remediere completă a contractului și o migrare curată.
Risc cheie: Un patch rapid și credibil plus o migrare curată care restaurează emiterea corectă și convinge piața că vsdCRV este din nou complet răscumpărabil.
Short riscul derivatelor de staking Curve/Arbitrum prin vânzarea expunerii la lichiditate legată de CRV (de ex., tokenuri LP sau participațiuni în vault-uri care depind de derivate de staking bazate pe Curve). Calea exploit-ului a fost prin poziții de lichiditate legate de Curve și derivate de staking; dacă contabilitatea unui vault poate fi manipulată, vault-urile derivate corelate pot suferi depeg, presiune la retrageri și retragere de lichiditate.
Risc cheie: Incidentul este izolat la contractul specific vsdCRV al StakeDAO, fără contagiune către alte vault-uri bazate pe Curve și fără un impact semnificativ asupra lichidității sau prețului.
- Atacul a umflat oferta vsdCRV printr-un defect de emitere în contract.
- Aproximativ $91K au fost retrase în timpul exploit-ului.
- Problema provine dintr-o contabilitate de staking defectuoasă pe platforma Arbitrum.
Un incident de securitate a afectat infrastructura StakeDAO pe Arbitrum, cercetătorii identificând activitate anormală legată de contractul său vsdCRV.
Exploitul este legat de o vulnerabilitate suspectată de tip „emitere infinită” care ar fi putut permite crearea unei oferte extrem de mari de tokenuri sintetice de staking, raportat la aproximativ 5.4 trilioane de unități vsdCRV.
Monitorizarea timpurie indică, de asemenea, că aproximativ $91,000 în active au fost retrase în timpul incidentului.
Activitatea a fost detectată inițial printr-un comportament on-chain neobișnuit implicând derivate de staking conectate la poziții de lichiditate bazate pe Curve.
We are aware of the ongoing situation.
— Stake DAO (@StakeDAOHQ) May 27, 2026
Please do not interact with vsdCRV. https://t.co/3wZhMo52r6
Mișcările neregulate ale tokenurilor nu corespundeau modelelor așteptate de distribuire a recompenselor, ceea ce a determinat o analiză mai atentă a arhitecturii contractului.
Exploitul se concentrează pe emiterea vsdCRV și logica vault-urilor
Sistemul afectat este mecanismul vsdCRV al StakeDAO, un derivat de staking lichid legat de pozițiile din Curve Finance.
În această configurație, utilizatorii depun CRV sau active legate de CRV și primesc tokenuri vsdCRV care le reprezintă cota din puterea de staking și din recompense.
Potrivit analizei on-chain, vulnerabilitatea pare să provină din cadrul de emitere a tokenurilor și din mecanismul de contabilitate utilizat de contractul implementat pe Arbitrum.
Cercetătorii consideră că defectul ar fi putut crea un scenariu de „emitere infinită” în care protocolul nu a reușit să restricționeze corespunzător emisia de tokenuri.
Acest tip de vulnerabilitate poate apărea atunci când calculele de ofertă depind de variabile manipulabile, precum balanțele de share-uri sau indicii de recompensă.
În acest caz, se crede că atacatorul a exploatat slăbiciunea pentru a umfla dramatic oferta de vsdCRV, estimările indicând un eveniment de emitere implicând aproximativ 5.4 trilioane de tokenuri.
The StakeDAO deployer private key (0x000755Fbe4A24d7478bfcFC1E561AfCE82d1ff62) was compromised. The attacker used it to reconfigure the LayerZero v2 OFT peer on the vsdCRV (Vote Boosted sdCRV) token contract, redirecting trust from the legitimate Ethereum-side vsdCRVOFTAdapter to…
— Blockaid (@blockaid_) May 27, 2026
Odată creat soldul umflat, acesta ar fi putut fi folosit pentru a extrage valoare din sistemul de vault-uri sau pentru a distorsiona procesul de distribuire a recompenselor protocolului.
Incidentul nu pare a fi legat de compromiterea unei chei private sau de un atac la nivel de portofel.
În schimb, analiza preliminară arată o eroare în contabilitatea internă a smart contractului, unde sistemul ar fi putut valida incorect condițiile de emitere în anumite stări tranzacționale.
Fonduri retrase în timp ce exploit-ul este încă monitorizat
Pe lângă evenimentul de inflație a tokenurilor, activitatea pe blockchain indică că aproximativ $91,000 în active au fost scoase din pozițiile afectate în fereastra exploit-ului.
Ieșirile de fonduri sugerează că atacatorul a reușit să convertească soldul manipulat de vsdCRV în valoare transferabilă înainte ca anomalia să fie conținută.
Exploit-ul a fost identificat în timp ce activitatea era încă în desfășurare, cercetătorii continuând să monitorizeze interacțiunile cu contractul în timp real.
Incidentul rămâne în curs de investigare în timp ce analiștii lucrează pentru a determina amploarea completă a expunerii.
Activitatea a fost concentrată pe Arbitrum, unde implementarea StakeDAO interacționează cu infrastructura de lichiditate legată de Curve.
Combinația dintre derivatele de staking și sistemele automate de recompense a complicat eforturile de a izola imediat impactul complet, în special în timp ce tranzacțiile continuă să se propage prin pool-urile de lichiditate DeFi.
Constatări preliminare indică o eroare de contabilitate
Constatăririle preliminare sugerează că problema de bază constă în modul în care contractul calculează drepturile de emitere pentru vsdCRV.
În sisteme ca acesta, emiterea este, de obicei, legată de un raport între activele depuse și share-urile emise.
Dacă acel raport poate fi manipulat prin interacțiuni în cazuri marginale sau actualizări de stare configurate incorect, acesta poate crea o oportunitate pentru emiterea disproporționată a tokenurilor.
Odată ce atacatorul a declanșat defectul, contractul pare să fi acceptat o tranziție de stare invalidă care a permis crearea excesivă de tokenuri.
Soldul umflat a perturbat apoi cadrul de contabilitate intern utilizat de sistemul de vault-uri.
Acest tip de exploit este în mod obișnuit asociat cu protocoale DeFi care se bazează puternic pe modele de contabilitate bazate pe share-uri fără o impunere strictă a invariantelor.
Când aceste măsuri de siguranță eșuează, sistemul poate trata în mod eronat tokenurile create artificial ca putere legitimă de staking.
Hamster Kombat (HMSTR) sare 47% într-o zi: De ce crește criptomoneda
Prețul ARB urcă după vestea LG: pot taurii să depășească rezistența liniei gâtului la $0.084?
Prețul VVV urcă pe fondul utilizării crescânde a Venice AI, dar riscuri tehnice cheie persistă
HYPE urcă 10% după lansarea Kalshi; depășește XRP în interesul pentru futures
Raliu pe piața cripto: de ce cresc Bitcoin și altcoin-urile (12 iunie)
Nu s-au găsit rezultate
Se încarcă articolele...
Failed to load articles. Please try again.