Stake DAO 于周三遭遇攻击,协议在 Arbitrum 的部署者密钥被攻破。攻击者伪造了约 5.4 万亿枚 Vote-Boosted sdCRV(vsdCRV)代币,并通过公共路由器将其兑换成以太坊。
本次安全漏洞绕过了所有智能合约层面的防控措施。仅凭一把具备高权限的私钥,去中心化金融(DeFi)领域今年已因类似问题损失逾数亿美元。
Stake DAO 漏洞事件经过
区块链安全公司 Blockaid 的链上预警显示,此次攻击源自 Stake DAO 的部署者钱包。攻击者利用该密钥重置了 vsdCRV 在 LayerZero v2 跨链桥上的对端配置。
大约 25 秒后,攻击者通过伪造的跨链消息,在 Arbitrum 上铸造了 5.4 万亿枚 vsdCRV。
随后,攻击者通过 MetaMask 公共路由器将这些代币抛售换成了以太坊。此次事件并未发现任何智能合约漏洞。
值得注意的是,KelpDAO 不久前也曾因 LayerZero 配置滥用发生过类似安全事件。
密钥失守风险再次重演
Stake DAO 被攻击与 4 月份 Wasabi Protocol 被盗事件如出一辙。当时因部署者钱包遭泄露,黑客从 4 条链上的金库共窃取约 450 万美元。
同月,Drift Protocol 在 Solana 链上损失 2.85 亿美元。几周后,Arbitrum 针对 KelpDAO 冻结资产,正值前不久该平台跨链桥被盗 2.92 亿美元。
这些协议均通过了安全审计。此次失守的并非代码本身,而是一把能配置跨链桥对端或升级合约实现的关键密钥。今年早些时候的 Resolv 平台铸造 8,000 万美元事件亦是同类问题所致。
“到 2026 年,DeFi 行业需要回答的关键问题,不再是协议是否经过安全审计,因为现在几乎都会做。核心在于,那些掌控已审计合约的关键操作密钥……是否还会只存在于某一台笔记本电脑之上。”Sodot 联合创始人 Shalev Keren 在接受 BeInCrypto 采访时表示。他强调,审计已无法解决最根本的安全隐患。
对于 Stake DAO 及其他类似项目而言,多签钱包安全机制亟需在部署者密钥与铸币权限之间增加一道屏障。否则,下一起 DeFi 项目失窃,依旧可能归咎于单一笔记本电脑,而不会是代码失误。
