PeckShield表示,攻击者在铸造了数万亿vsdCRV后,将43.7个ETH桥接到以太坊,而EmberCN则表示,剩余的大多数代币流动性不足以出售。
一名攻击者在Arbitrum上铸造了超过5.4万亿vsdCRV,原因是疑似StakeDAO关联的部署密钥被泄露,尽管流动性有限,实际收益仅约91,000美元。
区块链安全公司PeckShield周三表示,攻击者将铸造的vsdCRV部分换成了价值约91,000美元的43.7以太币(ETH),并将资金桥接到以太坊。链上分析师EmberCN表示,攻击者交换了约1683万vsdCRV,而剩余代币几乎没有实质流动性可退出。
EmberCN估计5.4万亿vsdCRV的理论价值约为7630亿美元,尽管该数字并不代表攻击者的实现利润或协议确认的损失。
此事件凸显了去中心化金融利用中名义代币价值与可提取价值之间的差距,攻击者可以铸造巨额代币,但仅提取可用流动性允许的部分。在此案例中,攻击者的收益受限于vsdCRV流动性池规模较小。
StakeDAO表示已知晓此事件,并警告用户不要与vsdCRV互动。
事件表明部署密钥被泄露
加密密钥管理公司Sodot的首席产品官兼联合创始人Shalev Keren告诉Cointelegraph,StakeDAO事件“结构上类似于今年其他部署密钥泄露事件,包括上月的Wasabi事件,后者耗尽了约550万美元的加密货币。
Keren表示,Arbitrum上的一个StakeDAO部署密钥被用来将vsdCRV跨链桥配置重新定位到以太坊上一个由攻击者控制的合约。大约25秒后,该合约向Arbitrum发送了LayerZero消息,导致合法Arbitrum代币向攻击者铸造了超过5万亿的vsdCRV。
“这里没有智能合约漏洞,LayerZero也没有缺陷,”Keren说。“只有一把私钥,控制着一个特权配置功能,没有多重签名,配置变更完成到链上清算之间没有延迟。”
Keren表示,2026年DeFi协议面临的更广泛问题不再只是合约是否被审计,而是这些合约背后的操作密钥是否仍是单点故障。
