Fiyatlar yükleniyor…
🩸BEARISH

Stake DAO Saldırısı: Arbitrum'da 5,4T Sahte vsdCRV Basıldı

Arbitrum'da tek bir dağıtıcı anahtarının ele geçirilmesi, saldırganın 5,4 trilyon vsdCRV üretmesine olanak sağladı — ama asıl mesele, otomatik getiri kasalarının arayüzün hiç göstermediği riskleri bir araya toplaması ve Nisan 2026…

Bir saldırgan, Salı günü Arbitrum'da Stake DAO dağıtıcı anahtarının ele geçirilmiş olabileceği şüphesiyle 5,4 trilyondan fazla vsdCRV bastı ve ardından zincir üstü güvenlik firması Blockaid'in verilerine göre token'ları ETH'ye takas etmeye başladı. Saldırgan, 5.446.744.073.709 vsdCRV basmadan önce LayerZero ile ilgili eş konfigürasyonunu değiştirerek sahte bir çapraz zincir mesajı oluşturdu; basılan miktarın bir kısmını yaklaşık 43,78 ETH'ye çevirdi — likidite kısıtları, gerçekleşen kazancı nominal basım miktarının çok altında tuttu. Stake DAO, durum aktifken kullanıcıların vsdCRV ile etkileşime girmemesini söyledi; Curve, etkilenen Arbitrum LlamaLend piyasasındaki kullanıcıları uyardı; Beefy Finance ise Curve ve Convex'e maruz kalan bağlantılı bir kasayı durdurdu.

Neden önemli

Stake DAO'nun Liquid Lockers'ı, bireysel kullanıcıların CRV gibi yönetişim token'larını yatırmasına, karşılığında likit sdToken almasına ve Curve kilitleme altyapısını kendileri yönetmeden artırılmış getiri ile yönetişim maruziyetine erişmesine olanak tanımak için tasarlanmıştı. Kasa arayüzü, alttaki karmaşıklığı — dağıtıcı anahtarları, çapraz zincir mesajlaşma güvenini, sarmalayıcı token muhasebesini ve oracle bağımlılıklarını — gizliyor ve istismar bu gizli rayların her birinden geçti.

Blockaid'in kurucu ortağı ve CEO'su Ido Ben-Natan, güvenlik kopukluğunu doğrudan ifade etti: "Zincir üstünde değer olan her yerde, onu istismar etmeye çalışan saldırganlar olacaktır. Burada önemli olan iki şey var — protokollerin kolay bir hata noktası olmadığından emin olmak için doğru yönetişim altyapısına sahip olup olmadığı ve her işlemi yürütülmeden önce doğrulayan gerçek zamanlı zincir üstü güvenlik araçlarının bulunup bulunmadığı."

Olay, Nisan 2026'nın daha geniş muhasebesinin tam ortasına denk geliyor: yaklaşık 635 milyon dolar, 28 olayda çekildi ve bu, DeFi'nin kayıtlardaki en kötü istismar ayı oldu; sosyal mühendislik, köprü spoofing'i ve yapay zeka destekli keşif bu artışı tetikledi. OpenZeppelin'in kurucu ortağı ve eski CTO'su Manuel Aráoz, yapay zeka kodlama ajanları güvenlik açıklarını bulmada "süper insan" hale geldiği için artık DeFi'nin "tamamını" güvensiz bulduğunu yazdı — OpenZeppelin bu iddiayı şirketin pozisyonunu yansıtmadığı gerekçesiyle kamuya açık şekilde reddetti.

İlgili tokenler
$CRV $ETH

Sıkça sorulan sorular

  1. Stake DAO vsdCRV istismarında ne oldu?

    Bir saldırgan, Stake DAO dağıtıcı anahtarının ele geçirilmiş olabileceği şüphesiyle Arbitrum'da 5,4 trilyondan fazla sahte vsdCRV bastı, ardından likidite kısıtları kazancı sınırlamadan önce bir kısmını yaklaşık 43,78 ETH'ye takas etti. Stake DAO, Curve ve Beefy Finance kullanıcı uyarıları yayımladı ve etkilenen…

  2. Saldırgan 5,4 trilyon vsdCRV'yi nasıl üretti?

    Blockaid'e göre saldırgan, 5.446.744.073.709 vsdCRV basmadan önce LayerZero ile ilgili eş konfigürasyonunu değiştirerek sahte bir çapraz zincir mesajı oluşturdu. Güvenlik açığı, Curve kilitleme altyapısının kendisinde değil, çapraz zincir mesajlaşma güveninde bulunuyordu.

  3. Bu istismar neden DeFi kasaları için yapısal bir uyarı olarak görülüyor?

    Stake DAO'nun Liquid Lockers'ı gibi otomatik getiri kasaları, dağıtıcı anahtarlarını, çapraz zincir mesajlaşma güvenini, sarmalayıcı token muhasebesini ve oracle bağımlılıklarını basit bir yatırım arayüzünün arkasına gizliyor. Bu gizli raylardan biri başarısız olduğunda, arayüz kullanıcıları hiç değerlendirmeyi kabul…

  4. Nisan 2026, DeFi istismarları açısından ne kadar kötüydü?

    Yaklaşık 635 milyon dolar, 28 olayda çekildi ve bu, DeFi'nin kayıtlardaki en kötü istismar ayı oldu. Baskın saldırı vektörleri sosyal mühendislik, köprü spoofing'i ve yapay zeka destekli keşifti.

  5. İstismardan sonra protokoller hangi karşı önlemleri benimsiyor?

    Blockaid CEO'su Ido Ben-Natan, tek hata noktalarını ortadan kaldıran yönetişim kontrollerine ve işlemleri yürütülmeden önce doğrulayan gerçek zamanlı zincir üstü güvenlik araçlarına işaret etti. Biçimsel doğrulama, çoklu imza güvenlik önlemleri ve gömülü risk panoları önerilen standart altyapıyı oluşturuyor.

Kaynak atıf
Şuradan derlenmiştir CryptoSlate · Doğrulanmış · Son güncelleme 45g önce
Orijinali aç →