Aposta DAO foi explorado em Arbitragem em 27 de maio de 2026, quando um invasor cunhou mais de 5,4 trilhões vsdCRV explorando o token configuração de cadeia cruzada. Stake DAO alertou os usuários para não interagirem com vsdCRVenquanto a Curve Finance também recomendou que os usuários com depósitos ou empréstimos no mercado asdCRV LlamaLend no Arbitrum os retirassem para mitigar os riscos do Oracle. Os dados da rede mostram que o invasor só conseguiu transformar uma pequena fração do valor em ETH devido à liquidez limitada.
Detalhes da exploração
Dados on-chain no Arbitrum mostram que a transação mint ocorreu no bloco 467160931 às 09:17:58 UTC em 27 de maio de 2026. A transação registrou aproximadamente 5,45 trilhões de vsdCRV sendo cunhados do endereço nulo para a carteira 0xeF3C…aa25.
Evidência na cadeia da exploração do Stake DAO. Fonte: Arbiscan
Esta transação interagiu com o Executor LayerZero v2, indicando que o processo de cunhagem estava relacionado ao fluxo de mensagens entre cadeias usado para criar tokens no Arbitrum. O hash da transação mint é 0x7489…e5fe5, de acordo com dados arbiscanos.
A Blockaid afirmou que detectou uma exploração contínua direcionada ao Stake DAO no Arbitrum, na qual o invasor cunhou mais de 5,4 trilhões de vsdCRV e começou a trocar esses tokens por ETH.
De acordo com fontes de rastreamento de segurança, incluindo PeckShield, o invasor trocou uma parte dos tokens por aproximadamente 43,78 ETH, no valor de cerca de US$ 91.200 no momento do relatório e, em seguida, transferiu os ativos para Ethereum. Este número reflete o valor inicialmente obtido pelo invasor, e não o valor nominal de todo o fornecimento vsdCRV cunhado.
Suspeita de causa raiz
A Blockaid suspeita que a exploração provavelmente resultou do comprometimento da chave privada do implantador do Stake DAO. O endereço do implantador mencionado é 0x0007…ff62.
A partir desse acesso, acredita-se que o invasor tenha alterado a configuração cross-chain que o vsdCRV usa para validar mensagens via LayerZero. Especificamente, a Blockaid disse que o invasor mudou o “peer” confiável de um adaptador válido no lado Ethereum para um contrato malicioso implantado pelo invasor e, em seguida, usou esse contrato para enviar mensagens falsas para cunhar tokens no Arbitrum.
A causa raiz suspeita é a chave privada comprometida.
Implantação de peer maliciosa: https://t.co/RlJlVYC5xe
Hortelã de cadeia cruzada: https://t.co/NBQdjaTXu0
setPeer #3 (antes da criação): https://t.co/sq7jrH8tN6…
Menta tx: https://t.co/kH52CmHXGm…– Bloqueio (@blockaid_) 27 de maio de 2026
Os detalhes publicados pela Blockaid indicam que o incidente envolveu permissões do implantador e Stake DAO’s Configuração LayerZero OFTem vez de uma vulnerabilidade confirmada no protocolo principal LayerZero. No momento em que este artigo foi escrito, a Stake DAO não publicou uma autópsia completa sobre como a chave privada foi comprometida ou o escopo dos contratos afetados.
Este contexto coloca o incidente ao lado dos riscos de mensagens entre cadeias que ganharam atenção após aproximadamente Incidente Kelp DAO/rsETH de US$ 292 milhões em abril de 2026que também envolveu fluxos de mensagens através do LayerZero. A diferença é que no caso do Stake DAO, os dados atuais se concentram na chave comprometida do projeto e na configuração do OFT.
Impacto no mercado e no usuário
Imediatamente após o incidente, a Stake DAO solicitou usuários não interajam com vsdCRV enquanto o problema estava sendo resolvido. Com mais de 5,4 trilhões de novos tokens cunhados, o risco reside não apenas na diluição da oferta de vsdCRV, mas também no impacto nos pools de liquidez, oráculos e protocolos vinculados a esse token no Arbitrum.
A Curve Finance também emitiu um aviso separado para usuários com depósitos ou empréstimos no mercado asdCRV LlamaLend no Arbitrum. Segundo Curve, o mercado ainda operava normalmente no momento do alerta, mas o oráculo de preços poderia ficar instável devido à exploração envolvendo vsdCRV, aumentando o risco de liquidação de posições de empréstimo/dívida.
Se você tiver depósitos ou empréstimos no mercado asdCRV LlamaLend no Arbitrum – exista o mais rápido possível por precaução.
O mercado está bem agora, mas seu oráculo de preços pode se tornar instável devido à exploração do vsdCRV, que pode causar liquidações. https://t.co/HhvMfzXEe9
– Curve Finance (@CurveFinance) 27 de maio de 2026
Apesar da enorme quantidade de tokens cunhados, o valor inicialmente obtido pelo invasor foi de apenas cerca de US$ 91.200, o que é muito inferior ao valor nominal porque a liquidez do vsdCRV era insuficiente para absorver todo o conjunto de novos tokens. O dano final ainda depende da quantidade de tokens trocados, do nível de impacto nos pools relacionados e das medidas de remediação do Stake DAO.
O que permanece obscuro
A Stake DAO não havia publicado uma autópsia completa no momento em que os avisos iniciais foram emitidos. As questões em aberto restantes incluem como a chave privada foi comprometida, o escopo dos contratos afetados, o status de recuperação da configuração cross-chain e o nível de risco remanescente para pools ou mercados relacionados no Arbitrum.
No curto prazo, os usuários envolvidos com vsdCRV, sdCRV ou mercados que usam oráculos relacionados no Arbitrum ainda precisam monitorar os anúncios oficiais do Stake DAO, Curve e entidades de segurança on-chain. O incidente também destaca os principais riscos de gerenciamento no DeFi, especialmente para protocolos que ainda permitem que chaves de implantação ou administração alterem as configurações de confiança entre cadeias.
