Futures
Accédez à des centaines de contrats perpétuels
CFD
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
20 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
GateRouter
Choisissez intelligemment parmi plus de 40 modèles d’IA, avec 0 % de frais supplémentaires
DeFi est encore en crise ! La clé privée du déployeur de StakeDAO a été divulguée, l'attaquant a forgé 5,4 trillions de vsdCRV sur Arbitrum et échange actuellement contre de l'ETH
La société de sécurité blockchain Blockaid a détecté que Stake DAO subissait une attaque sur Arbitrum, où le pirate a exploité une clé privée de déployeur compromise pour forger de manière artificielle plus de 5,4 trillions de tokens vsdCRV (Vote Boosted sdCRV) via le protocole de pont LayerZero v2 OFT, et est en train de les échanger contre de l'ETH.
Blockaid indique que la cause probable est une fuite de clé privée, et l'attaque est toujours en cours.
(Précédent contexte : OpenZeppelin appelle à retirer toutes les activités DeFi : l'IA déséquilibre la défense et l'attaque, même les blue chips comme Aave ne sont pas à l'abri)
(Contexte supplémentaire : Kelp DAO annonce la restauration complète de rsETH : il y a 5 semaines, il a été volé 293 millions de dollars par des hackers nord-coréens)
Résumé des points clés
La société de sécurité blockchain Blockaid a lancé une alerte immédiate, détectant une attaque continue contre le protocole de rendement DeFi Stake DAO sur Arbitrum. L'attaquant a forgé plus de 5,4 trillions de tokens vsdCRV (Vote Boosted sdCRV) et est en train de les échanger contre de l'ETH.
Blockaid estime que la cause principale est la fuite de la clé privée du déployeur de StakeDAO (0x000755F…1ff62). Après avoir obtenu cette clé, l'attaquant a appelé la fonction setPeer sur le contrat de tokens vsdCRV pour reconfigurer le paramètre du nœud peer du token omnichain LayerZero v2 OFT, redirigeant la relation de confiance initialement vers le contrat légitime vsdCRVOFTAdapter sur le réseau principal Ethereum, vers un contrat malveillant déployé par l'attaquant. Après cette redirection de confiance, l'attaquant a effectué une forge cross-chain sur Arbitrum, créant artificiellement une grande quantité de vsdCRV et commençant à les vendre.
encore une faille cross-chain liée à LayerZero
Ce n’est pas la première fois cette année que l’architecture cross-chain LayerZero devient une cible d’attaque. En avril, Kelp DAO a été victime d’un vol de 293 millions de dollars par des hackers nord-coréens, exploitant également une faiblesse dans le mécanisme de validation cross-chain de LayerZero. La différence est que, pour Kelp DAO, un validateur unique du réseau de validation décentralisé (DVN) a été compromis, tandis que pour StakeDAO, c’est la clé privée du déployeur qui a été divulguée, permettant à l’attaquant de modifier directement les paramètres du contrat.
Le vsdCRV de StakeDAO est un jeton de gouvernance dans l’écosystème Curve, permettant aux détenteurs de sdCRV d’augmenter leur poids de vote via la délégation veSDT. L’attaque est toujours en cours, la perte finale dépendra de la quantité d’ETH que l’attaquant pourra retirer des pools de liquidité.
Blockaid appelle tous les utilisateurs à suspendre toute opération liée à StakeDAO.
Aujourd’hui, Manuel Araoz, co-fondateur d’OpenZeppelin, a récemment déclaré publiquement que « tous les DeFi ne sont pas sûrs », et la fuite de la clé privée du déployeur de StakeDAO confirme une fois de plus cette affirmation.
Questions fréquentes
Quelle est la méthode d’attaque utilisée cette fois par StakeDAO ?
Après avoir obtenu la clé privée du déployeur de StakeDAO, l’attaquant a utilisé cette autorisation pour reconfigurer le contrat cross-chain LayerZero v2 OFT (setPeer), en redirigeant la relation de confiance de l’endpoint légitime sur Ethereum vers un contrat malveillant, forgeant ainsi plus de 5,4 trillions de vsdCRV sur Arbitrum et les échangeant contre de l’ETH.
Qu’est-ce que le token vsdCRV ?
Le vsdCRV est un jeton de Vote Boosted sdCRV de Stake DAO, appartenant à l’écosystème de gouvernance de Curve. Les détenteurs peuvent déléguer leur veSDT pour augmenter leur poids de vote, utilisé pour les votes de liquidité et d’incitation dans Curve. L’attaquant a forgé la version cross-chain sur Arbitrum.