StakeDAO 攻击者利用部署者密钥在 Arbitrum 上铸造 5.4T vsdCRV,但流动性上限较低,实现了 91,000 美元的收益。 DeFi 中持续存在主要妥协趋势。
攻击者于 2026 年 5 月 27 日利用 StakeDAO 的 vsdCRV 代币,在 Arbitrum 网络上铸造了 5.4 万亿个代币。然而,由于代币池中的流动性有限,实现的利润仅限于 91,000 美元。区块链安全公司 PeckShield 证实,攻击者在将资金转入以太坊之前兑换了 43.7 ETH(价值约 91,000 美元)。
此次攻击归因于可疑的部署者密钥泄露,这是去中心化金融 (DeFi) 中反复出现的漏洞。 Onchain 分析师 EmberCN 指出,攻击者交换了 1683 万个 vsdCRV,而剩余的铸造代币(纸面价值 7630 亿美元)实际上缺乏流动性。根据市场数据,该代币的市场价格在 24 小时内暴跌 98.7%。
部署者关键漏洞详细信息
根据加密密钥管理公司 Sodot 的 Shalev Keren 的说法,受损的部署者密钥被用来操纵 vsdCRV 跨链桥配置。通过将桥重定向到以太坊上攻击者控制的合约,攻击者触发了 Arbitrum 上 vsdCRV 的铸造。这种漏洞绕过了治理和时间锁定保护,凸显了 DeFi 协议中集中管理密钥的风险。
StakeDAO 承认了这一漏洞,并警告用户不要与 vsdCRV 进行交互。 “智能合约本身没有缺陷,”克伦解释道。 “问题在于密钥管理的单点故障,这在 2026 年仍然是系统性风险。”此事件反映了最近的其他漏洞,例如 5 月 19 日的 Echo 协议漏洞,其中管理密钥漏洞导致 7700 万美元的资金被盗。
市场影响和趋势
StakeDAO 漏洞凸显了 DeFi 中的一个关键差距:名义代币发行与可提取价值之间的脱节。虽然攻击者可以铸造大量代币,但他们的财务收益受到流动性限制的限制。在这种情况下,攻击者的收益只是理论估值的一小部分,反映了 vsdCRV 流动性池的薄弱。
更广泛的问题是私钥泄露的持续存在。仅在 2026 年 5 月,就发生了多次引人注目的攻击,利用了受损的管理密钥,其中包括 5 月 24 日发生的价值 280 万美元的 StablR 攻击以及之前造成 550 万美元损失的 Wasabi 协议事件。这些事件揭示了一个令人不安的模式:操作漏洞,而不是合约错误,正在成为 DeFi 漏洞的主要载体。
StakeDAO 和 DeFi 安全的下一步是什么?
StakeDAO 的 vsdCRV 代币目前交易价格为 0.000000000012 美元,市值仅为 180 万美元,反映了该漏洞的影响。这一事件给 DeFi 协议敲响了警钟,让它们重新评估对单签名密钥的依赖。多重签名配置和时间锁定机制可以减轻这些风险,但整个行业的采用情况仍然不平衡。
对于交易者来说,StakeDAO 漏洞凸显了评估代币价值时流动性的重要性。正如这次攻击所证明的那样,非流动性资产可能会使大量名义收益变得无关紧要。与此同时,DeFi 参与者应监控密钥管理的持续发展,以衡量他们参与的其他协议的安全性。
DeFi 生态系统解决这些系统漏洞的能力对其长期生存至关重要。在此之前,关键管理风险可能仍将是 2026 年反复出现的头条新闻。
