Ein Angreifer prägte am Dienstag über 5,4 Billionen vsdCRV auf Arbitrum durch eine mutmaßliche Kompromittierung eines Stake-DAO-Deployer-Keys und begann anschließend, die Token in ETH zu tauschen, so das On-Chain-Sicherheitsunternehmen Blockaid. Der Angreifer veränderte eine LayerZero-bezogene Peer-Konfiguration, um eine Cross-Chain-Nachricht zu fälschen, bevor er 5.446.744.073.709 vsdCRV prägte und einen Teil in rund 43,78 ETH umwandelte – Liquiditätsengpässe hielten die tatsächliche Entnahme weit unter dem nominalen Mint. Stake DAO wies Nutzer an, vsdCRV nicht zu nutzen, solange die Lage aktiv war; Curve warnte Nutzer in einem betroffenen Arbitrum-LlamaLend-Markt, und Beefy Finance pausierte einen verbundenen Vault mit Exposure zu Curve und Convex.
Warum es wichtig ist
Stake DAOs Liquid Lockers sollten Einzelanlegern ermöglichen, Governance-Token wie CRV einzuzahlen, liquide sdTokens zu erhalten und Zugang zu gesteigertem Yield und Governance-Exposure zu bekommen, ohne den Curve-Locking-Stack selbst verwalten zu müssen. Die Vault-Oberfläche versteckt die zugrundeliegende Komplexität – Deployer-Keys, Vertrauen in Cross-Chain-Messaging, Wrapper-Token-Buchhaltung und Oracle-Abhängigkeiten – und der Exploit lief durch jede dieser verborgenen Schienen.
Ido Ben-Natan, Mitgründer und CEO von Blockaid, formulierte die Sicherheitsdiskrepanz direkt: „Wo Wert on-chain existiert, wird es Angreifer geben, die versuchen, ihn auszunutzen. Zwei Dinge sind hier entscheidend – ob Protokolle über die richtige Governance-Infrastruktur verfügen, damit es keinen einfachen Fehlerpunkt gibt, und ob Echtzeit-On-Chain-Sicherheitstools jede Transaktion vor der Ausführung validieren."
Der Vorfall fällt in die umfassendere Abrechnung des Aprils 2026: Rund 635 Millionen US-Dollar wurden über 28 Vorfälle entzogen, was ihn zum schlimmsten Monat für DeFi-Exploits in der Aufzeichnung macht, getrieben von Social Engineering, Bridge-Spoofing und KI-gestützter Aufklärung. Manuel Aráoz, Mitgründer und ehemaliger CTO von OpenZeppelin, schrieb, er halte inzwischen „alles" in DeFi für unsicher, da KI-Coding-Agenten „übermenschlich" beim Finden von Schwachstellen geworden seien – eine Behauptung, die OpenZeppelin öffentlich zurückwies, da sie nicht die Position des Unternehmens widerspiegele.
Häufig gestellte Fragen
-
Was ist beim Stake-DAO-vsdCRV-Exploit passiert?
Ein Angreifer prägte über 5,4 Billionen gefälschte vsdCRV auf Arbitrum durch eine mutmaßliche Kompromittierung eines Stake-DAO-Deployer-Keys und tauschte einen Teil in rund 43,78 ETH, bevor Liquiditätsengpässe die Entnahme begrenzten. Stake DAO, Curve und Beefy Finance gaben jeweils Nutzerwarnungen heraus und…
-
Wie konnte der Angreifer 5,4 Billionen vsdCRV fälschen?
Laut Blockaid veränderte der Angreifer eine LayerZero-bezogene Peer-Konfiguration, um eine Cross-Chain-Nachricht zu fälschen, bevor er 5.446.744.073.709 vsdCRV prägte. Die Schwachstelle lag im Vertrauen in Cross-Chain-Messaging, nicht im Curve-Locking-Stack selbst.
-
Warum gilt dieser Exploit als strukturelle Warnung für DeFi-Vaults?
Automatisierte Yield-Vaults wie Stake DAOs Liquid Lockers verstecken Deployer-Keys, Vertrauen in Cross-Chain-Messaging, Wrapper-Token-Buchhaltung und Oracle-Abhängigkeiten hinter einer simplen Einzahlungsoberfläche. Wenn eine dieser verborgenen Schienen versagt, setzt die Oberfläche Nutzer Risiken aus, die sie nie zu…
-
Wie schlimm war der April 2026 insgesamt für DeFi-Exploits?
Rund 635 Millionen US-Dollar wurden über 28 Vorfälle entzogen, was den April 2026 zum schlimmsten Monat für DeFi-Exploits in der Aufzeichnung macht. Social Engineering, Bridge-Spoofing und KI-gestützte Aufklärung waren die dominanten Angriffsvektoren.
-
Welche Gegenmaßnahmen ergreifen Protokolle nach dem Exploit?
Blockaid-CEO Ido Ben-Natan verwies auf Governance-Kontrollen, die Single Points of Failure eliminieren, sowie auf Echtzeit-On-Chain-Sicherheitstools, die Transaktionen vor der Ausführung validieren. Formale Verifikation, Multisig-Sicherungen und eingebettete Risiko-Dashboards gelten als vorgeschlagene…