區塊鏈安全公司週三報導，專注於自動化收益策略的 DeFi 平台 Stake DAO 正面臨一場持續進行中的漏洞攻擊。

Blockaid 在 X 上指出，攻擊者在 Arbitrum 上鑄造了超過 5.4 兆個 vsdCRV，並正在積極地將其兌換成 ETH。PeckShield 表示，到目前為止，部分代幣已被兌換成 43.78 枚 ETH（價值 91,000 美元）並橋接至 Ethereum。

vsdCRV，即投票增強型 sdCRV，是一種與 Curve Finance 生態系統相關聯，並在 Stake DAO 內部使用的收益相關衍生性代幣。

Stake DAO 表示已意識到此情況，並敦促用戶不要與 vsdCRV 進行互動。

研究人員表示，疑似根本原因是一個被盜用的 Stake DAO 部署者私鑰。

BlockSec 解釋：「攻擊者似乎已取得部署者的私鑰，並為 vsdCRV 設定了一個任意的對等方。利用該對等方，他們偽造了一條惡意訊息，觸發了約 5.44 兆個 vsdCRV 無條件鑄造到他們的地址。」

這次攻擊是 DeFi 漏洞攻擊最糟糕時期之一的延續，似乎是由於人工智慧的進步所驅動。自四月以來，已有數十個協定被駭，損失超過 6 億美元，其中以 Kelp DAO 遭受的 2.92 億美元攻擊為首。週二，加密安全公司 OpenZeppelin 的 Manuel Aráoz 表示，他認為「所有 DeFi」都不安全，理由是攻擊者和防禦者之間存在不對稱性。

Sodot 共同創辦人兼產品長 Shalev Keren 告訴 The Block，Stake DAO 的漏洞攻擊在結構上與上個月的 Wasabi 事件以及今年其他幾起部署者私鑰被盜用事件相似。

Keren 說：「Arbitrum 上的 Stake DAO 部署者私鑰被用來將 vsdCRV 跨鏈橋配置重新指向 Ethereum 上的一個攻擊者控制的合約，大約二十五秒後，該合約向回發送了一條 LayerZero 訊息，導致合法的 Arbitrum 代幣向攻擊者鑄造了超過五兆個 vsdCRV，而攻擊者現在正在將其拋售換取 ETH。」Keren 強調：「這裡沒有智能合約錯誤，也沒有 LayerZero 的缺陷，只有一個私鑰，控制一個特權配置功能，沒有多重簽名，且配置更改生效與鏈上鑄造完成之間沒有延遲。」

Keren 補充說，這次事件凸顯了圍繞操作安全和經審計的 DeFi 協定中特權部署者權限過於集中的更廣泛擔憂。

這是一則持續發展中的新聞。