Um atacante cunhou mais de 5,4 biliões de vsdCRV na Arbitrum na terça-feira através de um suspeito compromisso de uma chave de deployer da Stake DAO, e depois começou a trocar os tokens por ETH, segundo a empresa de segurança on-chain Blockaid. O atacante alterou a configuração de peer relacionada com a LayerZero para forjar uma mensagem cross-chain antes de cunhar 5.446.744.073.709 vsdCRV, convertendo uma parte em cerca de 43,78 ETH — restrições de liquidez mantiveram a extração realizada muito abaixo do mint nominal. A Stake DAO pediu aos utilizadores para não interagirem com o vsdCRV enquanto a situação estivesse ativa, a Curve avisou os utilizadores num mercado LlamaLend da Arbitrum afetado, e a Beefy Finance pausou um cofre ligado com exposição à Curve e à Convex.
Por que razão isto importa
Os Liquid Lockers da Stake DAO foram concebidos para permitir que utilizadores de retalho depositassem tokens de governação como CRV, recebessem sdTokens líquidos, e acedessem a yield reforçado e exposição à governação sem gerirem pessoalmente a stack de bloqueio da Curve. A interface do cofre esconde a complexidade subjacente — chaves de deployer, confiança na mensageria cross-chain, contabilidade de tokens wrapper e dependências de oracles — e o exploit percorreu cada um desses trilhos ocultos.
Ido Ben-Natan, cofundador e CEO da Blockaid, enquadrou o desfasamento de segurança de forma direta: "Onde quer que haja valor on-chain, haverá atacantes a tentar explorá-lo. Duas coisas importam aqui — se os protocolos têm a infraestrutura de governação certa para garantir que não existe um ponto fácil de falha, e ter tooling de segurança on-chain em tempo real que valide cada transação antes da execução."
O incidente insere-se no ajuste de contas mais amplo de abril de 2026: foram extraídos cerca de 635 milhões de dólares em 28 incidentes, tornando-o o pior mês da DeFi em matéria de exploits registado, impulsionado por engenharia social, spoofing de bridges e reconhecimento assistido por IA. Manuel Aráoz, cofundador e ex-CTO da OpenZeppelin, escreveu que agora considera "toda" a DeFi insegura porque os agentes de codificação com IA se tornaram "sobre-humanos" a encontrar vulnerabilidades — uma afirmação que a OpenZeppelin rejeitou publicamente por não refletir a posição da empresa.
Por que é que vaults DeFi escondem riscos
Os vaults automatizados de yield como os Liquid Lockers da Stake DAO agrupam várias dependências — chaves de deployer, confiança em mensagens cross-chain, contabilidade de tokens wrapper, oracles — atrás de uma interface simples de depósito. Os utilizadores avaliam o APY, mas não as hipóteses de um único ponto de falha que liga a LayerZero, Curve e Convex. Quando um desses trilhos ocultos falha, a interface expõe os utilizadores a riscos que nunca concordaram em avaliar.
Perguntas frequentes
-
O que aconteceu no exploit do vsdCRV da Stake DAO?
Um atacante cunhou mais de 5,4 biliões de vsdCRV falsos na Arbitrum através de um suspeito compromisso de uma chave de deployer da Stake DAO, trocando depois uma parte por cerca de 43,78 ETH antes de as restrições de liquidez limitarem a extração. A Stake DAO, a Curve e a Beefy Finance emitiram avisos aos utilizadores…
-
Como é que o atacante forjou 5,4 biliões de vsdCRV?
Segundo a Blockaid, o atacante alterou a configuração de peer relacionada com a LayerZero para forjar uma mensagem cross-chain antes de cunhar 5.446.744.073.709 vsdCRV. A vulnerabilidade estava na confiança da mensageria cross-chain, não na stack de bloqueio da Curve em si.
-
Porque é que este exploit é considerado um aviso estrutural para vaults DeFi?
Vaults automatizados de yield como os Liquid Lockers da Stake DAO escondem chaves de deployer, confiança na mensageria cross-chain, contabilidade de tokens wrapper e dependências de oracles atrás de uma interface simples de depósito. Quando um desses trilhos ocultos falha, a interface expõe os utilizadores a riscos…
-
Quão mau foi abril de 2026 para exploits DeFi no geral?
Foram extraídos cerca de 635 milhões de dólares em 28 incidentes, tornando-o o pior mês da DeFi em matéria de exploits registado. Engenharia social, spoofing de bridges e reconhecimento assistido por IA foram os vetores de ataque dominantes.
-
Que contramedidas estão os protocolos a adotar após o exploit?
O CEO da Blockaid, Ido Ben-Natan, apontou para controlos de governação que eliminam pontos únicos de falha e tooling de segurança on-chain em tempo real que valida transações antes da execução. Verificação formal, salvaguardas multisig e dashboards de risco incorporados são a infraestrutura padrão proposta.