StakeDAO部署者密钥泄露致Arbitrum上铸造5.45万亿vsdCRV

安全公司表示，此次攻击似乎与部署者密钥泄露有关。攻击者借此重新配置跨链消息传递，在Arbitrum上铸造数万亿vsdCRV，并将其中一部分兑换为ETH。

ETH

ARB

31d ago

事实核查

The Block的报道证实，Arbitrum上铸造了5.4万亿枚vsdCRV，研究人员将原因归咎于部署者私钥被泄露。StakeDAO在其官方X帖子中也承认了这一事件，并警告用户不要与vsdCRV交互。PaNews援引PeckShield的消息，独立证实了这笔5.4万亿枚增发具有无限增发攻击特征；Odaily则明确报道称，部署者密钥泄露，涉及数量约为5.45万亿枚。细微的数字差异（5.45T vs 5.4T）属于四舍五入导致的一致差异。该说法的所有核心要素——部署者密钥泄露、发生在Arbitrum上、vsdCRV被增发数万亿枚，以及StakeDAO发出警告——均得到印证。

摘要

Stake DAO正面临一起涉及其Arbitrum上vsdCRV代币的持续攻击事件。多家安全公司报告称，攻击者铸造了超过5.4万亿枚代币，并将其中一部分兑换为43.78 ETH，价值约$91,000，随后将资金桥接至以太坊。根据BlockSec，疑似根因是Stake DAO部署者私钥泄露，该私钥被用于为vsdCRV设置任意对端并伪造恶意跨链消息，从而触发无条件铸造，向攻击者地址铸造了约5.44万亿vsdCRV。Stake DAO表示已注意到该事件，并敦促用户不要与vsdCRV交互。The Block还援引Sodot联合创始人Shalev Keren的话称，此次攻击在结构上与其他部署者密钥泄露事件类似，涉及先将Arbitrum上的vsdCRV跨链桥配置更改为以太坊上一份由攻击者控制的合约，随后由一条LayerZero消息触发铸造。

术语与概念

Arbitrum: 以太坊二层网络，旨在比以太坊主区块链更低成本、更快速地处理交易。
vsdCRV: Vote-boosted sdCRV是一种与收益相关的衍生代币，与Curve Finance生态系统挂钩，并在Stake DAO内部使用。
LayerZero: 一种跨链消息传递协议，允许应用在不同区块链之间发送消息；在本案中，它被认为是攻击路径的一部分，而非漏洞来源。