Preise werden geladen…
🩸BEARISH

Stake-DAO-Hack: Angreifer prägt 5,4 Bio. vsdCRV auf Arbitrum

Eine einzelne kompromittierte Deployer-Key auf Arbitrum ermöglichte es einem Angreifer, 5,4 Billionen vsdCRV zu fälschen – doch die strukturelle Lesart ist, dass automatisierte Yield-Vaults Risiken bündeln, die das Interface nie zeigt, und der April 2026…

Ein Angreifer prägte am Dienstag über 5,4 Billionen vsdCRV auf Arbitrum durch eine mutmaßliche Kompromittierung eines Stake-DAO-Deployer-Keys und begann anschließend, die Token in ETH zu tauschen, so das On-Chain-Sicherheitsunternehmen Blockaid. Der Angreifer veränderte eine LayerZero-bezogene Peer-Konfiguration, um eine Cross-Chain-Nachricht zu fälschen, bevor er 5.446.744.073.709 vsdCRV prägte und einen Teil in rund 43,78 ETH umwandelte – Liquiditätsengpässe hielten die tatsächliche Entnahme weit unter dem nominalen Mint. Stake DAO wies Nutzer an, vsdCRV nicht zu nutzen, solange die Lage aktiv war; Curve warnte Nutzer in einem betroffenen Arbitrum-LlamaLend-Markt, und Beefy Finance pausierte einen verbundenen Vault mit Exposure zu Curve und Convex.

Warum es wichtig ist

Stake DAOs Liquid Lockers sollten Einzelanlegern ermöglichen, Governance-Token wie CRV einzuzahlen, liquide sdTokens zu erhalten und Zugang zu gesteigertem Yield und Governance-Exposure zu bekommen, ohne den Curve-Locking-Stack selbst verwalten zu müssen. Die Vault-Oberfläche versteckt die zugrundeliegende Komplexität – Deployer-Keys, Vertrauen in Cross-Chain-Messaging, Wrapper-Token-Buchhaltung und Oracle-Abhängigkeiten – und der Exploit lief durch jede dieser verborgenen Schienen.

Ido Ben-Natan, Mitgründer und CEO von Blockaid, formulierte die Sicherheitsdiskrepanz direkt: „Wo Wert on-chain existiert, wird es Angreifer geben, die versuchen, ihn auszunutzen. Zwei Dinge sind hier entscheidend – ob Protokolle über die richtige Governance-Infrastruktur verfügen, damit es keinen einfachen Fehlerpunkt gibt, und ob Echtzeit-On-Chain-Sicherheitstools jede Transaktion vor der Ausführung validieren."

Der Vorfall fällt in die umfassendere Abrechnung des Aprils 2026: Rund 635 Millionen US-Dollar wurden über 28 Vorfälle entzogen, was ihn zum schlimmsten Monat für DeFi-Exploits in der Aufzeichnung macht, getrieben von Social Engineering, Bridge-Spoofing und KI-gestützter Aufklärung. Manuel Aráoz, Mitgründer und ehemaliger CTO von OpenZeppelin, schrieb, er halte inzwischen „alles" in DeFi für unsicher, da KI-Coding-Agenten „übermenschlich" beim Finden von Schwachstellen geworden seien – eine Behauptung, die OpenZeppelin öffentlich zurückwies, da sie nicht die Position des Unternehmens widerspiegele.

Verwandte Tokens
$CRV $ETH

Häufig gestellte Fragen

  1. Was ist beim Stake-DAO-vsdCRV-Exploit passiert?

    Ein Angreifer prägte über 5,4 Billionen gefälschte vsdCRV auf Arbitrum durch eine mutmaßliche Kompromittierung eines Stake-DAO-Deployer-Keys und tauschte einen Teil in rund 43,78 ETH, bevor Liquiditätsengpässe die Entnahme begrenzten. Stake DAO, Curve und Beefy Finance gaben jeweils Nutzerwarnungen heraus und…

  2. Wie konnte der Angreifer 5,4 Billionen vsdCRV fälschen?

    Laut Blockaid veränderte der Angreifer eine LayerZero-bezogene Peer-Konfiguration, um eine Cross-Chain-Nachricht zu fälschen, bevor er 5.446.744.073.709 vsdCRV prägte. Die Schwachstelle lag im Vertrauen in Cross-Chain-Messaging, nicht im Curve-Locking-Stack selbst.

  3. Warum gilt dieser Exploit als strukturelle Warnung für DeFi-Vaults?

    Automatisierte Yield-Vaults wie Stake DAOs Liquid Lockers verstecken Deployer-Keys, Vertrauen in Cross-Chain-Messaging, Wrapper-Token-Buchhaltung und Oracle-Abhängigkeiten hinter einer simplen Einzahlungsoberfläche. Wenn eine dieser verborgenen Schienen versagt, setzt die Oberfläche Nutzer Risiken aus, die sie nie zu…

  4. Wie schlimm war der April 2026 insgesamt für DeFi-Exploits?

    Rund 635 Millionen US-Dollar wurden über 28 Vorfälle entzogen, was den April 2026 zum schlimmsten Monat für DeFi-Exploits in der Aufzeichnung macht. Social Engineering, Bridge-Spoofing und KI-gestützte Aufklärung waren die dominanten Angriffsvektoren.

  5. Welche Gegenmaßnahmen ergreifen Protokolle nach dem Exploit?

    Blockaid-CEO Ido Ben-Natan verwies auf Governance-Kontrollen, die Single Points of Failure eliminieren, sowie auf Echtzeit-On-Chain-Sicherheitstools, die Transaktionen vor der Ausführung validieren. Formale Verifikation, Multisig-Sicherungen und eingebettete Risiko-Dashboards gelten als vorgeschlagene…

Quellenangabe
Aggregiert von CryptoSlate · Verifiziert · Zuletzt aktualisiert vor 48d
Original öffnen →