27 мая 2026 года злоумышленник, вероятно, получивший доступ к ключу адреса-развёртывателя Stake DAO, изменил настройки vsdCRV-контракта на Arbitrum. Подставив свой контракт вместо настоящего, он выпустил себе 5.45 трлн vsdCRV. Фактически реализованная сумма составила ~$91 тыс. — большая часть триллионных токенов осталась нереализованной из-за отсутствия ликвидности на рынке.
Что такое Stake DAO и vsdCRV
Stake DAO — это протокол, позволяющий блокировать (stake) токены CRV (токен ещё одной децентрализованной биржи Curve) в обмен на vsdCRV — деривативный токен, представляющий заблокированный вклад.
Адрес-развёртыватель — это специальный адрес, с которого изначально выпускался (деплоился) контракт. Он обычно имеет особые права на изменение настроек и является очень опасным, если его ключ утекает.
Что произошло
Атакующий получил доступ к ключу адреса-развёртывателя Stake DAO. С его помощью он заменил настройку vsdCRV-контракта на Arbitrum: вместо настоящего доверенного контракта на Ethereum был указан контракт атакующего.
Дальше он отправил с Ethereum межсетевое сообщение. Межсетевое сообщение — это команда, отправленная из одной сети в другую. Arbitrum-контракт получил это сообщение и доверил ему — ведь в настройках был указан контракт атакующего. Таким образом было выпущено ~5.45 трлн vsdCRV на адрес 0xeF3C054d8F7eD0a7D61c8da56ff55F090577aa25.
Транзакция: 0x7489ec5f5dba1de6e6c92f2c0f1dd93bd4a2f307c3bd2305b2f93f569a3e5fe5
Почему это стало возможным
Представьте: у мастера есть специальный ключ от цеха, который позволяет менять оборудование, настраивать конвейер и выпускать продукцию. Если кто-то украдёт этот ключ — всё производство оказывается под угрозой.
Именно так произошло: получив доступ к ключу развёртывателя, злоумышленник поменял адрес доверенного контракта на свой — и система без возражений начала печатать токены.
Детали расследования: движение средств
1️⃣ На адрес атакующего 0xeF3C054d8F7eD0a7D61c8da56ff55F090577aa25 в сети Arbitrum было выпущено ~5.45 трлн vsdCRV.
2️⃣ Часть vsdCRV была обменяна на CRV через DEX — децентрализованные биржи без посредников.
3️⃣ Часть была обменяна через asdCRV — ещё один деривативный токен — и затем переведена в ETH.
4️⃣ Все полученные ETH были переброшены в сеть Ethereum на тот же адрес атакующего. На момент расследования средства там и остаются.
Фактически реализованная сумма — ~$91 тыс. Остальные vsdCRV невозможно продать — рынок чрезмерно узок для такого объёма.
Заключение
Атака на Stake DAO — ещё один пример того, насколько опасен адрес-развёртыватель с правами выпуска токенов. Грамотная архитектура предполагает таймлок — временную задержку перед выполнением админ-действий, дающую время заметить спорные изменения.
Команда «КоинКит» продолжает отслеживать адреса злоумышленника.
