Stake DAO sufre un ataque en Arbitrum: acuñados ilegalmente 5,44 billones de vsdCRV

CoinDesk informa de un incidente de seguridad en Arbitrum que afectó a Stake DAO. El atacante habría obtenido la clave privada del "deployer" del protocolo, alteró la configuración del endpoint de LayerZero v2 para vsdCRV y, a partir de ahí, falsificó mensajes entre cadenas para desencadenar una acuñación anómala a gran escala. Según la información divulgada, el origen del problema estaría en la configuración de comunicación crosschain de vsdCRV. El agresor sustituyó la dirección del endpoint de LayerZero v2 por una bajo su control y construyó un mensaje malicioso, lo que permitió que el contrato acuñara cerca de 5,44 billones de tokens vsdCRV directamente en su cartera sin restricciones adicionales. El mecanismo del ataque no pasó por compras en mercados públicos: se basó en explotar permisos del protocolo y el proceso de verificación de mensajes crosschain para crear una emisión masiva de tokens que no deberían existir. Parte de los tokens ya se habría canjeado y transferido a Ethereum. La firma de seguridad Blockaid señaló que los atacantes vendieron una parte de los tokens y obtuvieron aproximadamente 43,78 ETH, que posteriormente puentearon a la red principal de Ethereum. Esto sugiere que los activos asociados ya han comenzado a moverse entre cadenas, lo que puede complicar su rastreo y el congelamiento posterior. El ataque se produjo en la red Arbitrum y el token implicado es vsdCRV de Stake DAO. En el marco de la investigación, el equipo recordó a los usuarios que revoquen las autorizaciones relacionadas cuanto antes para reducir riesgos. Stake DAO sigue analizando cómo pudo verse comprometida la clave privada, cuándo se realizaron los cambios de configuración y si existen otros contratos o activos afectados. En DeFi, la exposición de permisos o configuraciones crosschain suele amplificar rápidamente el impacto desde un contrato hasta transferencias de fondos y condiciones de liquidez.