Un atacante acuñó más de 5,4 billones de vsdCRV en Arbitrum tras un presunto compromiso de una clave de deployer vinculada a StakeDAO, aunque la baja liquidez limitó las ganancias realizadas a alrededor de USD 91.000.
La firma de seguridad blockchain PeckShield afirmó el miércoles que el atacante intercambió parte de los vsdCRV acuñados por 43,7 Ether (ETH), valorados en unos USD 91.000, y posteriormente transfirió los fondos hacia Ethereum mediante un bridge. El analista onchain EmberCN señaló que el atacante intercambió cerca de 16,83 millones de vsdCRV, mientras que los tokens restantes tenían poca liquidez significativa para salir al mercado.
EmberCN estimó que los 5,4 billones de vsdCRV equivalían a unos USD 763.000 millones “sobre el papel”, aunque esa cifra no representa las ganancias efectivamente realizadas por el atacante ni las pérdidas confirmadas del protocolo.
El incidente pone de relieve la diferencia entre los valores nominales de los tokens y el valor realmente extraíble en exploits de finanzas descentralizadas, donde los atacantes pueden acuñar enormes cantidades de tokens pero solo monetizar lo que la liquidez disponible permite. En este caso, las ganancias del atacante estuvieron limitadas por el reducido tamaño de los pools de liquidez de vsdCRV.
StakeDAO afirmó que estaba al tanto del incidente y advirtió a sus usuarios que no interactuaran con vsdCRV.
Stake DAO declaró estar al tanto del incidente. Fuente: Stake DAO
El incidente apunta a un compromiso de clave de deployer
Shalev Keren, director de producto y cofundador de la firma de gestión de claves cripto Sodot, dijo a Cointelegraph que el incidente de StakeDAO fue “estructuralmente similar” a otros compromisos de claves de deployer vistos este año, incluido el incidente de Wasabi el mes pasado, que drenó alrededor de USD 5,5 millones en criptomonedas.
Keren explicó que una única clave de deployer de StakeDAO en Arbitrum fue utilizada para redirigir la configuración del bridge cross-chain de vsdCRV hacia un contrato controlado por el atacante en Ethereum. Aproximadamente 25 segundos después, ese contrato envió un mensaje mediante LayerZero de regreso a Arbitrum, provocando que el token legítimo en Arbitrum acuñara más de 5 billones de vsdCRV para el atacante.
“No existe ningún bug en el smart contract ni ninguna falla en LayerZero”, dijo Keren. “Existe una sola clave privada controlando una función privilegiada de configuración, sin multifirma y sin retraso entre el cambio de configuración y la ejecución de la acuñación onchain”.
Keren afirmó que el problema más amplio para los protocolos DeFi en 2026 ya no es únicamente si los contratos fueron auditados, sino si las claves operativas detrás de esos contratos siguen siendo puntos únicos de fallo.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
