Uma chave privada comprometida permitiu que um invasor forjasse uma mensagem entre cadeias no Arbitrum, acionando avisos em cascata no Curve Finance e no Beefy Finance.
Um hacker comprometeu a chave privada do implantador do StakeDAO na quarta-feira, cunhando 5,4 trilhões de tokens vsdCRV no Arbitrum e trocando uma parte por cerca de US$ 91.000 em ETH, um ataque que atingiu o mercado de empréstimos da Curve Finance e forçou o otimizador de rendimento Beefy Finance a pausar um cofre afetado.
StakeDAO, um protocolo DeFi com US$ 131 milhões em valor total bloqueado que permite aos usuários obter rendimentos aumentados em pools de liquidez Curve Finance por meio de posições CRV bloqueadas, alertou os usuários para pararem de interagir com vsdCRV imediatamente após o incidente. O protocolo não divulgou o valor total dos ativos em risco ou um cronograma para remediação.
O token de governança SDT da StakeDAO caiu aproximadamente 6,6% nas 24 horas que cercaram o incidente, de acordo com dados da CoinMarketCap, com o volume de negociação em SDT aumentando mais de 400%, por CoinGecko.
Mecânica de Ataque
De acordo com a Blockaid, empresa de segurança web3, que primeiro sinalizou o ataque, o invasor usou uma chave roubada para adulterar o contrato de token vsdCRV da StakeDAO, que depende do LayerZero para validar as instruções mint. Ao substituir o endereço autorizado legítimo por um controlado por ele, o invasor pode emitir seus próprios comandos mint.
O invasor usou a chave roubada para substituir o endereço legítimo autorizado no contrato vsdCRV da StakeDAO por um que eles controlavam e, em seguida, enviou uma instrução forjada que cunhou 5.446.744.073.709 vsdCRV no Arbitrum, tokens respaldados por nada.
A empresa de segurança Blockchain PeckShield relatou que o explorador converteu parte desses tokens em 43,78 ETH, no valor de aproximadamente US$ 91.170 no momento da exploração, e transferiu os rendimentos para o endereço Ethereum 0xeF3C…aa25.
Mesmo manual do LayerZero
O ataque segue um padrão que se tornou comum nos últimos meses: invasores abusando do padrão de token cross-chain Omnichain Fungible Token (OFT) da LayerZero, manipulando configurações de pares para forjar eventos mint em cadeias de destino.
Em abril, uma fraqueza arquitetônica semelhante na ponte LayerZero do Kelp DAO permitiu que invasores drenassem US$ 290 milhões em rsETH. Nesse caso, o LayerZero reconheceu mais tarde que cometeu um erro na configuração do verificador.
No caso StakeDAO, a Blockaid disse que a causa raiz suspeita era uma chave privada comprometida, em vez de uma falha de configuração do verificador, mas o caminho de exploração também consistia em forjar uma mensagem confiável de cadeia cruzada e acionar um mint sem suporte.
O padrão LayerZero OFT permite que os tokens se movam através de blockchains, queimando em uma cadeia e cunhando em outra. O sistema depende de configurações de pares – endereços confiáveis registrados em cada cadeia – para validar se uma instrução mint é legítima. Se uma chave do implementador que controla essas configurações for comprometida, um invasor poderá trocar silenciosamente um par malicioso e instruí-lo a autorizar um mint ilimitado.
Curvo e robusto
As consequências se estenderam além do StakeDAO. A Curve Finance alertou os usuários com depósitos ou empréstimos no mercado asdCRV LlamaLend no Arbitrum para saírem imediatamente. Embora o mercado em si permanecesse funcional, Curve disse que a exploração do vsdCRV poderia desestabilizar seu oráculo de preços e desencadear liquidações inesperadas.
Beefy Finance, um otimizador de rendimento multichain, divulgou separadamente que seu cofre Arbitrum Convex CRV/csdCRV/asdCRV foi atingido. Beefy disse que pausou o cofre e estava coordenando com StakeDAO, Curve e Convex em possíveis planos de recuperação.
O que vem a seguir
A análise forense on-chain é documentada publicamente: a Blockaid publicou a transação maliciosa de implantação de pares, a transação cross-chain mint, a transação setPeer no Arbitrum e a transação mint no Arbitrum. StakeDAO não confirmou se a chave do implementador comprometida foi rotacionada ou quando os contratos afetados serão reimplantados.
Abril já foi o pior mês já registrado para explorações de DeFi, com US$ 635 milhões roubados em 28 incidentes. O hack StakeDAO se soma a uma série crescente de ataques direcionados à infraestrutura entre cadeias em 2026.
Fontesthedefiant
