DeFi又爆了！StakeDAO部署者私鑰外洩，攻擊者在Arbitrum憑空鑄造5.4兆枚vsdCRV，正在兌換ETH

区块链安全公司 Blockaid 侦测到 Stake DAO 在 Arbitrum 上正遭受攻击，攻击者利用泄露的部署者私钥，通过 LayerZero v2 OFT 跨链协议凭空铸造超过 5.4 万亿枚 vsdCRV（Vote Boosted sdCRV）代币，并正在将其兑换为 ETH。Blockaid 指出疑似根本原因为私钥外泄，攻击仍在进行中。
（前情提要：OpenZeppelin 联创喊话撤离所有 DeFi：AI 让攻防失衡，连蓝筹 Aave 也不安全）
（背景补充：Kelp DAO 宣告 rsETH 全面恢复：5 周前遭北韩黑客窃取 2.93 亿美元）

重点摘要

• StakeDAO 部署者私钥遭黑，攻击者在 Arbitrum 上铸造超过 5.4 万亿枚 vsdCRV 并兑换 ETH
• 攻击手法：利用泄露私钥重新配置 LayerZero v2 OFT 跨链对等节点，将信任导向恶意合约

区块链安全公司 Blockaid 发表即时警报，侦测到 DeFi 收益协议 Stake DAO 在 Arbitrum 上正遭受持续性攻击。攻击者铸造了超过 5.4 万亿枚 vsdCRV（Vote Boosted sdCRV）代币，并正在将其兑换为 ETH。

Blockaid 判断根本原因为 StakeDAO 部署者私钥（0x000755F…1ff62）遭外泄。攻击者取得该私钥后，在 vsdCRV 代币合约上调用 setPeer 函式，重新配置 LayerZero v2 OFT（Omnichain Fungible Token）的跨链对等节点设置，将原本指向以太坊主网合法 vsdCRVOFTAdapter 的信任关系，导向攻击者部署的恶意合约。完成信任重导后，攻击者在 Arbitrum 上执行跨链铸造，凭空产出大量 vsdCRV 并开始抛售。

又一起 LayerZero 相关的跨链漏洞

这并非 LayerZero 跨链架构今年第一次成为攻击向量。4 月 Kelp DAO 遭北韩黑客窃取 2.93 亿美元，攻击者同样利用 LayerZero 的跨链验证机制弱点。不同的是，Kelp DAO 是 DVN（去中心化验证网络）的单点验证器被攻破，StakeDAO 则是部署者私钥本身外泄，让攻击者能够直接修改合约设置。

StakeDAO 的 vsdCRV 是 Curve 生态的治理代币，允许 sdCRV 持有者通过委托 veSDT 提升投票权重。本次攻击尚在进行中，最终损失金额取决于攻击者能从流动性池中抽走多少 ETH。

Blockaid 呼吁所有用户暂停一切 StakeDAO 相关操作。

今天 OpenZeppelin 联合创办人 Manuel Araoz 才刚公开喊话“所有 DeFi 都不安全”，StakeDAO 的部署者私钥外泄，再次印证了他的判断。

常见问题

StakeDAO 这次攻击的手法是什么？

攻击者取得 StakeDAO 部署者的私钥后，利用该权限重新配置 LayerZero v2 OFT 跨链合约的对等节点（setPeer），将信任从合法以太坊端合约导向恶意合约，接着在 Arbitrum 上凭空铸造超过 5.4 万亿枚 vsdCRV 并兑换 ETH。

vsdCRV 是什么代币？

vsdCRV 是 Stake DAO 的“Vote Boosted sdCRV”代币，属于 Curve 生态治理体系。持有者可通过委托 veSDT 提升投票权重，用于 Curve 相关的流动性激励投票。攻击者铸造的是 Arbitrum 上的跨链版本。