Stake DAO 在铸造出 5.4 万亿 vsdCRV 后遭遇持续的漏洞利用

Stake DAO 是一家专注于自动化收益策略的 DeFi 平台，周三多家区块链安全公司报告称，其正遭遇持续进行中的漏洞利用。攻击者在 Arbitrum 上铸造了超过 5.4 万亿 的 vsdCRV 代币，并主动将其兑换为 ETH。被怀疑的根本原因是 Stake DAO 的部署者私钥遭到泄露，使攻击者能够操纵 vsdCRV 跨链桥的配置。此次事件也为自 4 月以来 DeFi 漏洞利用激增的趋势增添了新案例：已有超过 6 亿美元被盗，涉及数十个协议，包括 Kelp DAO 的 2.92 亿美元漏洞利用；而随着人工智能的进展，攻击复杂度似乎正在提升。

漏洞利用的技术细节

据 Blockaid 称，攻击者在 Arbitrum 上铸造了超过 5.4 万亿 个 vsdCRV，并正在将其主动换成 ETH。PeckShield 报告称，价值 43.78 ETH（9.1 万美元）的代币已被兑换并跨桥至以太坊。vsdCRV，或称 vote-boosted sdCRV，是一种与 Curve Finance 生态相关、并在 Stake DAO 内部使用的收益相关衍生代币。

BlockSec 解释称，攻击者似乎已获得部署者的私钥，并为 vsdCRV 设置了一个任意点对等方（peer）。BlockSec 表示：“通过这个 peer，他们伪造了一条恶意消息，从而在其地址上触发了约 5.44T vsdCRV 的无条件铸造。”

Sodot 联合创始人兼 CPO Shalev Keren 告诉 The Block：“在 Arbitrum 上的 Stake DAO 部署者密钥被用于将 vsdCRV 跨链桥配置重新指向以太坊上一份由攻击者控制的合约，而大约二十五秒后，该合约向跨链回传一条 LayerZero 消息，导致合法的 Arbitrum 代币向攻击者铸造了超过五万亿的 vsdCRV，而对方目前正将其倾倒（dump）为 ETH。”Keren 澄清称：“这里没有智能合约漏洞，也没有 LayerZero 的缺陷；问题在于只有一个私钥，控制一个具备特权的配置功能，并且没有多签，也没有延迟——从配置变更生效到链上铸造完成之间没有任何延迟。”

官方回应

Stake DAO 表示其已知悉这一情况，并敦促用户不要与 vsdCRV 交互。

安全分析

Shalev Keren 告诉 The Block，Stake DAO 漏洞利用在结构上与上个月的 Wasabi 事件类似，今年以来还有多起部署者密钥遭到攻破的情况。Keren 补充称，此次事件凸显了围绕运营安全的更广泛担忧，以及与经过审计的 DeFi 协议相关联的特权部署者权限集中化问题。

周二，加密安全公司 OpenZeppelin 的 Manuel Aráoz 表示，他认为“所有的 DeFi 都不安全”，理由是攻击者与防御者之间存在不对称性。

更广泛的背景

该漏洞利用仍在延续 DeFi 领域最糟糕的一段时期之一，似乎正是由人工智能的进展推动：自 4 月以来，已有数十个协议遭黑客入侵，损失超过 6 亿美元，其中领头的是 Kelp DAO 的 2.92 亿美元漏洞利用。

这是一个持续发展的故事。