StakeDAO-kontrakt på Arbitrum drabbat av 5,4 biljoner vsdCRV-exploit

En säkerhetsincident har påverkat StakeDAO:s infrastruktur på Arbitrum, där forskare identifierat avvikande aktivitet kopplad till dess vsdCRV-kontrakt.

Utnyttjandet kopplas till en misstänkt sårbarhet för oändlig myntning som kan ha möjliggjort skapandet av en extremt stor mängd syntetiska stakingtokens, enligt uppgifter omkring 5,4 biljoner vsdCRV-enheter.

Tidig spårning tyder också på att ungefär $91,000 i medel dränerades under incidenten.

Aktiviteten upptäcktes först genom avvikande on-chain-beteende som involverade stakingderivat kopplade till Curve-baserade likviditetspositioner.

We are aware of the ongoing situation.
Please do not interact with vsdCRV. https://t.co/3wZhMo52r6
— Stake DAO (@StakeDAOHQ) May 27, 2026

De oregelbundna tokenrörelserna stämde inte med förväntade mönster för belöningsdistribution, vilket föranledde en närmare granskning av kontraktets arkitektur.

Utnyttjandet fokuserar på vsdCRV-myntning och valvlogik

Det drabbade systemet är StakeDAO:s vsdCRV-mekanism, ett likvid stakingderivat kopplat till Curve Finance-positioner.

I detta upplägg deponerar användare CRV eller CRV-länkade tillgångar och får vsdCRV-tokens som representerar deras andel av staking-kraften och belöningarna.

Enligt on-chain-analys verkar sårbarheten ha sitt ursprung i token-myntnings- och redovisningsramverket som används av kontraktet distribuerat på Arbitrum.

Forskare menar att felet kan ha skapat ett scenario med "oändlig myntning" där protokollet misslyckades med att korrekt begränsa tokenutgivning.

Denna typ av sårbarhet kan uppstå när beräkningar av utbudet är beroende av manipulerbara variabler såsom andelsbalanser eller belöningsindex.

I det här fallet tros angriparen ha utnyttjat svagheten för att dramatiskt blåsa upp vsdCRV-utbudet, med uppskattningar som pekar på en myntning på omkring 5,4 biljoner tokens.

The StakeDAO deployer private key (0x000755Fbe4A24d7478bfcFC1E561AfCE82d1ff62) was compromised. The attacker used it to reconfigure the LayerZero v2 OFT peer on the vsdCRV (Vote Boosted sdCRV) token contract, redirecting trust from the legitimate Ethereum-side vsdCRVOFTAdapter to…
— Blockaid (@blockaid_) May 27, 2026

När det uppblåsta saldot skapats kan det ha använts för att utvinna värde från valvsystemet eller förvränga protokollets process för belöningsdistribution.

Incidenten verkar inte vara relaterad till komprometterade privata nycklar eller en plånboksnivåattack.

I stället pekar preliminära analyser på ett fel i smartkontraktets interna redovisning, där systemet kan ha felaktigt godkänt myntningsvillkor under specifika transaktionsstatus.

Medel försvunna medan utnyttjandet övervakas

Vid sidan av tokeninflationshändelsen visar blockchain-aktivitet att cirka $91,000 i tillgångar flyttades ut ur drabbade positioner under utnyttjandeperioden.

Utflödena tyder på att angriparen kunde konvertera det manipulerade vsdCRV-saldot till överförbart värde innan anomalien begränsades.

Utnyttjandet identifierades medan aktiviteten fortfarande pågick, och forskare fortsätter att övervaka kontraktsinteraktioner i realtid.

Incidenten är fortfarande under utredning medan analytiker arbetar för att fastställa den fulla omfattningen av exponeringen.

Aktiviteten har koncentrerats till Arbitrum, där StakeDAO:s distribution interagerar med Curve-relaterad likviditetsinfrastruktur.

Kombinationen av stakingderivat och automatiserade belöningssystem har försvårat försöken att omedelbart isolera den fulla påverkan, särskilt medan transaktioner fortsätter att spridas genom DeFi-likviditetspooler.

Preliminära fynd pekar på redovisningsfel

Preliminära fynd tyder på att kärnproblemet ligger i hur kontraktet beräknar myntningsrättigheter för vsdCRV.

I system som detta är myntning typiskt kopplad till ett förhållande mellan insatta tillgångar och utgivna andelar.

Om det förhållandet kan manipuleras genom kantfallssituationer eller felkonfigurerade statusuppdateringar kan det skapa en öppning för oproportionerlig tokenutgivning.

När angriparen utlöste felet verkar kontraktet ha accepterat en ogiltig tillståndsövergång som möjliggjorde överdriven tokenskapelse.

Det uppblåsta saldot störde sedan det interna redovisningsramverket som används av valvsystemet.

Denna typ av exploit är ofta förknippad med DeFi-protokoll som i hög grad förlitar sig på andelsbaserade redovisningsmodeller utan strikt upprätthållande av invariansvillkor.

När dessa skydd brister kan systemet felaktigt betrakta artificiellt skapade tokens som legitim staking-kraft.