استیک دائو (Stake DAO)، یک پلتفرم دیفای (DeFi) متمرکز بر استراتژیهای بازدهی خودکار، با یک اکسپلویت (exploit) در حال انجام مواجه است که شرکتهای متعدد امنیت بلاکچین چهارشنبه گزارش دادند.
Blockaid در X اشاره کرد که مهاجم بیش از 5.4 تریلیون vsdCRV را در آربیتروم (Arbitrum) مینت (mint) کرده و فعالانه آن را با اتریوم (ETH) مبادله میکند. PeckShield گفت که تاکنون، بخشی از توکنها با 43.78 اتریوم (91,000 دلار) مبادله شده و به اتریوم (Ethereum) پل شدهاند.
vsdCRV، یا sdCRV تقویتشده با رأی (vote-boosted sdCRV)، یک توکن مشتقشده مرتبط با بازدهی است که به اکوسیستم Curve Finance گره خورده و در Stake DAO استفاده میشود.
Stake DAO اعلام کرد که از این وضعیت آگاه است و از کاربران خواست که با vsdCRV تعامل نکنند.
محققان گفتند که علت اصلی مشکوک، یک کلید خصوصی (private key) سازنده (deployer) به خطر افتاده Stake DAO است.
BlockSec توضیح داد: «به نظر میرسد مهاجم به کلید خصوصی سازنده دست یافته و یک همتا (peer) دلخواه برای vsdCRV تنظیم کرده است.» «با استفاده از آن همتا، آنها یک پیام مخرب جعل کردند که باعث مینتینگ (minting) بیقید و شرط حدود 5.44 تریلیون vsdCRV به آدرس خودشان شد.»
این اکسپلویت یکی از بدترین دورهها برای اکسپلویتهای دیفای را ادامه میدهد که ظاهراً ناشی از پیشرفتها در هوش مصنوعی است، با دهها پروتکل که از آوریل تاکنون بیش از 600 میلیون دلار هک شدهاند، که اکسپلویت 292 میلیون دلاری Kelp DAO پیشتاز آن است. سهشنبه، مانوئل آراوز از شرکت امنیتی رمزارز OpenZeppelin گفت که او «کل دیفای» را ناامن میداند، و به عدم تقارن بین مهاجمان و مدافعان اشاره کرد.
شالو کرین (Shalev Keren)، همبنیانگذار و مدیر ارشد محصول Sodot، به The Block گفت که اکسپلویت Stake DAO از نظر ساختاری مشابه حادثه Wasabi در ماه گذشته و چندین مورد دیگر از به خطر افتادن کلید سازنده (deployer-key) در سال جاری است.
کرین گفت: «کلید سازنده Stake DAO در آربیتروم برای تغییر مسیر پیکربندی پل بینزنجیرهای vsdCRV به یک قرارداد تحت کنترل مهاجم در اتریوم استفاده شد، و حدود بیست و پنج ثانیه بعد، آن قرارداد یک پیام LayerZero را بازگرداند، که باعث شد توکن قانونی آربیتروم بیش از پنج تریلیون vsdCRV را برای مهاجم مینت کند، کسی که اکنون آن را برای اتریوم تخلیه میکند.» «هیچ باگ قرارداد هوشمند در اینجا وجود ندارد و هیچ نقصی در LayerZero نیست، فقط یک کلید خصوصی وجود دارد که یک تابع پیکربندی دارای امتیاز را کنترل میکند، بدون امضای چندگانه (multisig) و بدون تاخیر بین اعمال تغییر پیکربندی و نهایی شدن مینت در بلاکچین (onchain).»
کرین افزود که این حادثه نگرانیهای گستردهتری را در مورد امنیت عملیاتی و تمرکز مجوزهای سازنده دارای امتیاز مرتبط با پروتکلهای دیفای حسابرسی شده برجسته میکند.
این یک داستان در حال توسعه است.
Disclaimer: The Block یک رسانه مستقل است که اخبار، تحقیقات و دادهها را ارائه میدهد. از نوامبر 2023، Foresight Ventures سرمایهگذار اکثریت The Block است. Foresight Ventures در سایر شرکتهای حوزه رمزارز سرمایهگذاری میکند. صرافی رمزارز Bitget یک LP اصلی برای Foresight Ventures است. The Block به طور مستقل برای ارائه اطلاعات عینی، تاثیرگذار و به موقع در مورد صنعت رمزارز فعالیت خود را ادامه میدهد. در اینجا افشای مالی فعلی ما آمده است.
© 2026 The Block. کلیه حقوق محفوظ است. این مقاله فقط برای اهداف اطلاعاتی ارائه شده است. این مقاله به عنوان مشاوره حقوقی، مالیاتی، سرمایهگذاری، مالی یا سایر مشاورهها ارائه یا در نظر گرفته نشده است.
