Chargement des prix…
🩸BEARISH

Attaque Stake DAO : 5 400 milliards de vsdCRV frappés sur Arbitrum

Un seul compromis de clé de déployeur sur Arbitrum a permis à un attaquant de forger 5,4 billions de vsdCRV — mais la lecture structurelle montre que les coffres à rendement automatisé regroupent des risques que l'interface ne montre jamais, et avril 2026…

Un attaquant a frappé plus de 5,4 billions de vsdCRV sur Arbitrum mardi, via un compromis présumé d'une clé de déployeur de Stake DAO, puis a commencé à échanger les tokens contre des ETH, selon la société de sécurité on-chain Blockaid. L'attaquant a modifié la configuration des pairs liée à LayerZero pour forger un message cross-chain avant de frapper 5 446 744 073 709 vsdCRV, convertissant une partie en environ 43,78 ETH — les contraintes de liquidité ont maintenu l'extraction réalisée bien en dessous du mint nominal. Stake DAO a demandé aux utilisateurs de ne pas interagir avec vsdCRV pendant que la situation était active, Curve a averti les utilisateurs sur un marché LlamaLend Arbitrum affecté, et Beefy Finance a mis en pause un coffre connecté exposé à Curve et Convex.

Pourquoi c'est important

Les Liquid Lockers de Stake DAO étaient conçus pour permettre aux utilisateurs particuliers de déposer des tokens de gouvernance comme CRV, de recevoir des sdTokens liquides, et d'accéder à un rendement boosté et à une exposition à la gouvernance sans avoir à gérer eux-mêmes la pile de verrouillage Curve. L'interface du coffre masque la complexité sous-jacente — clés de déployeur, confiance dans la messagerie cross-chain, comptabilité des tokens wrappers et dépendances aux oracles — et l'exploit a voyagé à travers chacun de ces rails cachés.

Ido Ben-Natan, cofondateur et CEO de Blockaid, a posé directement le décalage de sécurité : « Là où il y a de la valeur on-chain, il y aura des attaquants qui essaieront de l'exploiter. Deux choses comptent ici — si les protocoles ont la bonne infrastructure de gouvernance pour s'assurer qu'il n'y a pas de point de défaillance facile, et disposer d'outils de sécurité on-chain en temps réel qui valident chaque transaction avant exécution. »

L'incident s'inscrit dans le règlement de comptes plus large d'avril 2026 : environ 635 millions de dollars ont été extraits à travers 28 incidents, ce qui en fait le pire mois de la DeFi en matière d'exploits jamais enregistré, alimenté par l'ingénierie sociale, l'usurpation de bridges et la reconnaissance assistée par IA. Manuel Aráoz, cofondateur et ancien CTO d'OpenZeppelin, a écrit qu'il considère désormais « toute » la DeFi comme non sûre parce que les agents de codage IA sont devenus « surhumains » pour trouver des vulnérabilités — une affirmation qu'OpenZeppelin a publiquement rejetée, estimant qu'elle ne reflétait pas la position de l'entreprise.

Tokens associés
$CRV $ETH

Questions fréquemment posées

  1. Que s'est-il passé lors de l'exploit vsdCRV de Stake DAO ?

    Un attaquant a frappé plus de 5,4 billions de faux vsdCRV sur Arbitrum via un compromis présumé d'une clé de déployeur de Stake DAO, puis a échangé une partie contre environ 43,78 ETH avant que les contraintes de liquidité ne plafonnent l'extraction. Stake DAO, Curve et Beefy Finance ont chacun publié des…

  2. Comment l'attaquant a-t-il forgé 5,4 billions de vsdCRV ?

    Selon Blockaid, l'attaquant a modifié la configuration des pairs liée à LayerZero pour forger un message cross-chain avant de frapper 5 446 744 073 709 vsdCRV. La vulnérabilité se situait dans la confiance de la messagerie cross-chain, et non dans la pile de verrouillage Curve elle-même.

  3. Pourquoi cet exploit est-il considéré comme un avertissement structurel pour les coffres DeFi ?

    Les coffres à rendement automatisé comme les Liquid Lockers de Stake DAO cachent les clés de déployeur, la confiance dans la messagerie cross-chain, la comptabilité des tokens wrappers et les dépendances aux oracles derrière une interface de dépôt simple. Lorsque l'un de ces rails cachés tombe, l'interface expose les…

  4. À quel point avril 2026 a-t-il été mauvais pour les exploits DeFi en général ?

    Environ 635 millions de dollars ont été extraits à travers 28 incidents, ce qui en fait le pire mois de la DeFi en matière d'exploits jamais enregistré. L'ingénierie sociale, l'usurpation de bridges et la reconnaissance assistée par IA étaient les vecteurs d'attaque dominants.

  5. Quelles contre-mesures les protocoles adoptent-ils après l'exploit ?

    Le CEO de Blockaid, Ido Ben-Natan, a pointé les contrôles de gouvernance qui éliminent les points de défaillance uniques et les outils de sécurité on-chain en temps réel qui valident les transactions avant exécution. Vérification formelle, garde-fous multisig et tableaux de bord de risque embarqués constituent…

Attribution de la source
Agrégé de CryptoSlate · Vérifié · Dernière mise à jour il y a 49d
Ouvrir l'original →