El exploit StakeDAO genera 5,4 billones de vsdCRV pero solo genera 91.000 dólares

Un atacante acuñó más de 5,4 billones de vsdCRV en Arbitrum después de un presunto compromiso de una clave de implementación vinculada a StakeDAO, aunque la escasa liquidez limitó las ganancias obtenidas a aproximadamente $91,000.

La firma de seguridad blockchain PeckShield dijo el miércoles que el atacante intercambió parte del vsdCRV acuñado por 43,7 Ether (ETH), con un valor aproximado de 91.000 dólares, y puenteó los fondos con Ethereum. El analista de Onchain, EmberCN, dijo que el atacante intercambió alrededor de 16,83 millones de vsdCRV, mientras que los tokens restantes tenían poca liquidez significativa para salir.

EmberCN estimó los 5,4 billones de vsdCRV en unos 763.000 millones de dólares en papel, aunque la cifra no representa las ganancias realizadas por el atacante ni las pérdidas confirmadas del protocolo.

El incidente pone de relieve la brecha entre los valores nominales de los tokens y el valor extraíble en los exploits de las finanzas descentralizadas, donde los atacantes pueden acuñar enormes cantidades de tokens pero solo retirar lo que permite la liquidez disponible. En este caso, los ingresos del atacante estaban limitados por el pequeño tamaño de los fondos de liquidez de vsdCRV.

StakeDAO dijo que estaba al tanto del incidente y advirtió a sus usuarios que no interactuaran con vsdCRV.

Stake DAO dijo que estaba al tanto del incidente. Fuente: Estaca DAO

El incidente apunta a un compromiso de la clave del implementador

Shalev Keren, director de producto y cofundador de la empresa de gestión de claves criptográficas Sodot, dijo a Cointelegraph que el incidente de StakeDAO fue "estructuralmente similar" a otros compromisos de claves de implementación observados este año, incluido el incidente de Wasabi el mes pasado, que drenó alrededor de $5,5 millones en criptomonedas.

Keren dijo que se utilizó una única clave de implementación de StakeDAO en Arbitrum para redirigir la configuración del puente entre cadenas vsdCRV a un contrato controlado por el atacante en Ethereum. Aproximadamente 25 segundos después, ese contrato envió un mensaje LayerZero a Arbitrum, lo que provocó que el token legítimo de Arbitrum acuñara más de 5 billones de vsdCRV para el atacante.

"Aquí no hay ningún error de contrato inteligente ni ningún defecto en LayerZero", dijo Keren. "Hay una clave privada, que controla una función de configuración privilegiada, sin firma múltiple y sin demora entre el cambio de configuración y la eliminación de la moneda en la cadena".

Keren dijo que la cuestión más amplia para los protocolos DeFi en 2026 ya no es sólo si los contratos son auditados, sino si las claves operativas detrás de esos contratos siguen siendo puntos únicos de falla.