Exploit di Stake DAO consente all'attaccante di coniare 5,4 trilioni di vsdCRV su Arbitrum
Il 27 maggio 2026, Arbitrum ha subito una grave violazione che ha coinvolto Stake DAO, dove un hacker ha coniato oltre 5,4 trilioni di token vsdCRV sfruttando la funzionalità cross-chain del token. L'evento è stato registrato nel blocco 467160931 alle 09:17:58 UTC e ha utilizzato l'Executor LayerZero v2. Blockaid ha individuato la causa in una chiave privata compromessa appartenente al deployer di Stake DAO (0x0007…ff62). Modificando il trusted peer nella configurazione cross-chain con un contratto malevolo, l'attaccante ha inviato messaggi falsi per generare token. È riuscito a scambiare una parte per circa 43,78 ETH (circa $91.200) e ha trasferito i fondi su Ethereum. Stake DAO ha avvisato gli utenti riguardo a vsdCRV, mentre Curve Finance ha consigliato di ritirare fondi dal mercato asdCRV LlamaLend a causa di potenziali problemi con gli oracle. Questo incidente evidenzia i rischi legati alla gestione della DeFi, specialmente per i protocolli con chiavi di deployer o admin modificabili. Stake DAO non ha ancora pubblicato un'analisi dettagliata.
Fatti principali
- Stake DAO sfruttato su Arbitrum il 27 maggio 2026
- Attaccante ha coniato oltre 5,4 trilioni di token vsdCRV
- Transazione di conio al blocco 467160931, 09:17:58 UTC
- Transazione ha interagito con l'Executor LayerZero v2
- Causa sospetta: chiave privata compromessa dell'indirizzo deployer 0x0007…ff62
- Attaccante ha scambiato una parte per 43,78 ETH (~$91.200) e ha trasferito su Ethereum
- Stake DAO ha avvertito gli utenti di non interagire con vsdCRV
- Curve Finance ha avvertito gli utenti del mercato asdCRV LlamaLend su Arbitrum
- L'incidente segue l'exploit da $292M di Kelp DAO nell'aprile 2026 che ha coinvolto LayerZero
- Nessun post-mortem completo pubblicato da Stake DAO finora
Entità
Istituzioni
- Stake DAO
- Arbitrum
- Curve Finance
- Blockaid
- PeckShield
- LayerZero
- LlamaLend
- NFT Plazas
Luoghi
- Arbitrum
- Ethereum