StakeDAO 漏洞创造了 5.4 万亿个 vsdCRV，但净收益仅为 9.1 万美元

在怀疑与 StakeDAO 相关的部署者密钥遭到泄露后，攻击者在 Arbitrum 上铸造了超过 5.4 万亿个 vsdCRV，尽管流动性不足，实现的收益限制在约 91,000 美元。

区块链安全公司 PeckShield 周三表示，攻击者将部分铸造的 vsdCRV 换成价值约 91,000 美元的 43.7 以太币 (ETH)，并将资金桥接至以太坊。 Onchain 分析师 EmberCN 表示，攻击者交换了约 1683 万个 vsdCRV，而其余代币几乎没有有意义的流动性可以退出。

EmberCN 估计 5.4 万亿 vsdCRV 的纸面价值约为 7630 亿美元，尽管该数字并不代表攻击者已实现的利润或协议已确认的损失。

该事件凸显了去中心化金融利用中名义代币价值与可提取价值之间的差距，攻击者可以铸造大量代币，但只能兑现可用流动性允许的金额。在这种情况下，攻击者的收益受到 vsdCRV 流动性池规模较小的限制。

StakeDAO 表示已知晓该事件，并警告用户不要与 vsdCRV 互动。

Stake DAO 表示已知晓该事件。来源：Stake DAO

事件指向部署者密钥泄露

加密密钥管理公司 Sodot 的首席产品官兼联合创始人 Shalev Keren 告诉 Cointelegraph，StakeDAO 事件与今年发生的其他部署者密钥泄露事件“结构上相似”，包括上个月的 Wasabi 事件，该事件损失了约 550 万美元的加密货币。

Keren 表示，Arbitrum 上的单个 StakeDAO 部署密钥用于将 vsdCRV 跨链桥配置重新指向以太坊上攻击者控制的合约。大约 25 秒后，该合约向 Arbitrum 发送了一条 LayerZero 消息，导致合法的 Arbitrum 代币向攻击者铸造了超过 5 万亿个 vsdCRV。

“这里没有智能合约错误，LayerZero 也没有缺陷，”Keren 说。 “有一把私钥，控制一项特权配置功能，没有多重签名，配置更改和链上铸币清算之间没有延迟。”

Keren 表示，2026 年 DeFi 协议更广泛的问题不再仅仅是合约是否经过审计，而是这些合约背后的操作密钥是否仍然存在单点故障。