Arbitrum'daki StakeDAO sözleşmesi 5.4T vsdCRV açığıyla saldırıya uğradı

Bir güvenlik olayı, Arbitrum üzerindeki StakeDAO altyapısını etkiledi; araştırmacılar vsdCRV sözleşmesine bağlı anormal faaliyetler tespit etti.

İstismar, şüphelenilen bir sınırsız token basımı (infinite minting) açığıyla bağlantılı olup, bunun bildirildiğine göre yaklaşık 5.4 trilyon vsdCRV birimi gibi son derece büyük bir sentetik staking token arzının oluşturulmasına izin vermiş olabileceği belirtiliyor.

Erken takip verileri ayrıca olay sırasında yaklaşık $91,000 tutarında fonun çekildiğini gösteriyor.

Faaliyet ilk olarak Curve tabanlı likidite pozisyonlarına bağlı staking türevleriyle ilgili olağandışı blok zincir davranışı üzerinden tespit edildi.

We are aware of the ongoing situation.
Please do not interact with vsdCRV. https://t.co/3wZhMo52r6
— Stake DAO (@StakeDAOHQ) May 27, 2026

Düzensiz token hareketleri beklenen ödül dağıtım kalıplarıyla örtüşmedi ve bu durum sözleşme mimarisinin daha yakından incelenmesini gerektirdi.

İstismar vsdCRV basımı ve kasa mantığı etrafında şekilleniyor

Etkilenen sistem, Curve Finance pozisyonlarına bağlı likit staking türevi olan StakeDAO’nun vsdCRV mekanizmasıdır.

Bu yapıda kullanıcılar CRV veya CRV ile bağlantılı varlıkları yatırır ve staking gücü ile ödüllerinin payını temsil eden vsdCRV tokenleri alırlar.

Blok zinciri analizine göre, açığın Arbitrum üzerinde dağıtılmış olan sözleşmenin token basımı ve muhasebe çerçevesinden kaynaklandığı görülüyor.

Araştırmacılar, protokolün token ihraçını yeterince kısıtlamadığı bir “sonsuz basım” senaryosu oluşmuş olabileceğini değerlendiriyor.

Bu tür bir açıklık, arz hesaplamalarının pay bakiyeleri veya ödül indeksleri gibi manipüle edilebilen değişkenlere bağlı olduğu durumlarda ortaya çıkabiliyor.

Bu olayda saldırganın zayıflığı kullanarak vsdCRV arzını dramatik şekilde şişirdiği; tahminler, yaklaşık 5.4 trilyon tokeni içeren bir basım olayına işaret ediyor.

The StakeDAO deployer private key (0x000755Fbe4A24d7478bfcFC1E561AfCE82d1ff62) was compromised. The attacker used it to reconfigure the LayerZero v2 OFT peer on the vsdCRV (Vote Boosted sdCRV) token contract, redirecting trust from the legitimate Ethereum-side vsdCRVOFTAdapter to…
— Blockaid (@blockaid_) May 27, 2026

Şişirilen bakiye oluşturulduktan sonra, bunun kasa sisteminden değer çekmek veya protokolün ödül dağıtım sürecini bozmak için kullanılmış olabileceği belirtiliyor.

Olayın bir özel anahtar ihlali veya cüzdan düzeyinde bir saldırıyla ilgili olmadığı görülüyor.

Bunun yerine, ön analizler akıllı sözleşmenin dahili muhasebesinde bir başarısızlığa işaret ediyor; sistemin belirli işlem durumları altında basım koşullarını yanlış doğrulamış olabileceği değerlendiriliyor.

İstismar izlenirken fonlar boşaltıldı

Token enflasyonu olayına ek olarak, blok zinciri faaliyeti istismar penceresi sırasında yaklaşık $91,000 tutarındaki varlıkların etkilenen pozisyonlardan çıkarıldığını gösteriyor.

Çıkışlar, saldırganın manipüle edilmiş vsdCRV bakiyesini anomalı kontrol altına alınmadan önce transfer edilebilir değere çevirebildiğini gösteriyor.

İstismar, faaliyet devam ederken tespit edildi ve araştırmacılar sözleşme etkileşimlerini gerçek zamanlı izlemeye devam ediyor.

Olayın tam maruziyeti belirlenmeye çalışılırken soruşturma devam ediyor.

Faaliyet, StakeDAO’nun dağıtımının Curve ile ilişkili likidite altyapısıyla etkileşime girdiği Arbitrum üzerinde yoğunlaştı.

Staking türevleri ile otomatik ödül sistemlerinin birleşimi, işlemler DeFi likidite havuzları üzerinden yayılmaya devam ederken tam etkiyi hemen izole etmeyi zorlaştırdı.

İlk bulgular hesaplama/muhasebe hatasına işaret ediyor

İlk bulgular, temel sorunun vsdCRV için sözleşmenin nasıl basım hakkı hesapladığında yattığını gösteriyor.

Bu tür sistemlerde basım tipik olarak yatırılan varlıklar ile ihraç edilen paylar arasındaki orana bağlıdır.

Eğer bu oran uç durum etkileşimleri veya yanlış yapılandırılmış durum güncellemeleri yoluyla manipüle edilebiliyorsa, orantısız token ihraçları için bir açıklık oluşabilir.

Saldırgan hatayı tetiklediğinde, sözleşme aşırı token oluşturulmasına izin veren geçersiz bir durum geçişini kabul etmiş gibi görünüyor.

Şişirilen bakiye daha sonra kasa sisteminin kullandığı dahili muhasebe yapısını bozdu.

Bu tür bir istismar genellikle sıkı invariant denetimi olmayan pay tabanlı muhasebe modellerine güçlü şekilde dayanan DeFi protokolleriyle ilişkilidir.

Bu güvenlik önlemleri başarısız olduğunda, sistem yapay olarak oluşturulmuş tokenleri meşru staking gücü olarak yanlış değerlendirebilir.