Stake DAO 私鑰外洩:駭客增發 5.4 兆 vsdCRV
DeFi 收益優化協議 Stake DAO 5 月 27 日於 Arbitrum 出現大規模可疑增發事件,攻擊者鑄出 5.4 兆顆 vsdCRV 並持續換成以太幣,安全公司 PeckShield 已通報異常。根據 The Block 報導,攻擊目前仍在進行中。
PeckShield 通報:vsdCRV 異常增發 5.4 兆顆、攻擊持續中
鏈上監控服務 LookOnChain 引述 PeckShield 偵測結果指出,攻擊者透過某個擁有鑄幣權限的合約地址,在 Arbitrum 上鑄出 5.4 兆顆 vsdCRV,並陸續將部分 vsdCRV 換成以太幣後跨鏈橋接至 Ethereum 主網。
Crypto Briefing 形容此事件為「進行中」的攻擊,攻擊者持續從流動性池抽走價值,最終損失金額可能持續攀升。
廣告 - 內文未完請往下捲動
根因指向部署者私鑰外洩、LayerZero 並未直接遭駭
Crypto Briefing 指出,本次事件根因是 Stake DAO 部署者(deployer)錢包的私鑰遭洩漏,該地址在 Arbitrum 鏈上對 vsdCRV 擁有鑄幣權限,且周邊缺乏多簽或時間鎖等防護。
報導同時指出,LayerZero 雖然在 vsdCRV 的跨鏈架構中扮演訊息傳遞角色,但本次事件並非 LayerZero 本身遭駭,而是上游的鑄幣權限管控失守。類似的部署者私鑰外洩模式,4 月也曾出現在 Wasabi Protocol 550 萬美元事件。
已套現約 9.1 萬美元、流動池損失待 Stake DAO 公告
LookOnChain 統計,攻擊者目前已將部分 vsdCRV 換成約 43.781 顆以太幣,依當前價格約 9.1 萬美元,並已將資金跨鏈至 Ethereum。
由於 5.4 兆顆 vsdCRV 與流通市值差距極大,實際從交易池中提走的價值仍須以 Stake DAO 或第三方審計後續公告為準。截稿前 Stake DAO 官方推特未發布事件聲明,協議狀態以及是否凍結相關合約權限,目前均無公開資訊。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
