Portal
Hot News
Newest
Feautured
Admin
Giao thức DeFi Stake DAO đã bị hacker tấn công, mint hơn 5.400 tỷ vsdCRV trên Arbitrum rồi liên tục bán tháo lấy ETH.
Stake DAO bị tấn công, hacker mint hơn 5.400 tỷ vsdCRV để bán tháo sang ETH
Theo cảnh báo từ công ty bảo mật Blockaid vào chiều ngày 27/05, nền tảng Stake DAO đang đối mặt với một vụ tấn công nghiêm trọng liên quan đến token vsdCRV, tài sản thuộc hệ sinh thái Curve Finance được sử dụng trong các chiến lược yield và governance của giao thức này.
🚨 Blockaid detected an ongoing exploit targeting@StakeDAOHQ on Arbitrum.
The attacker just minted over 5.4 trillion vsdCRV and is actively swapping it for ETH.
More details in 🧵
— Blockaid (@blockaid_) May 27, 2026
Cụ thể, hacker đã mint hơn 5,4 nghìn tỷ vsdCRV trên mạng Arbitrum và đang liên tục bán tháo số token này sang ETH. Blockaid cho biết hoạt động xả token vẫn đang diễn ra ở thời điểm viết bài.
Trong khi đó, PeckShield tiết lộ một phần số tài sản đã được hacker đổi thành khoảng 43,78 ETH, tương đương khoảng 91.000 USD, trước khi bridge sang Ethereum.
#PeckShieldAlert 5.4 trillion $vsdCRV was minted on #Arbitrum @StakeDAOHQ.
The exploiter has swapped part of the $vsdCRV for 43.781 $ETH ($91.17K) & bridged them to Ethereum (0xeF3C…aa25). pic.twitter.com/EUuUOsUYe9
— PeckShieldAlert (@PeckShieldAlert) May 27, 2026
Về phía Stake DAO, dự án sau đó cũng xác nhận đã nhận biết được vụ việc và khuyến cáo người dùng không tương tác với token vsdCRV cho đến khi có thông báo mới.
We are aware of the ongoing situation.
Please do not interact with vsdCRV. https://t.co/3wZhMo52r6
— Stake DAO (@StakeDAOHQ) May 27, 2026
Tuy nhiên tại thời điểm viết bài, Stake DAO vẫn chưa công bố thêm chi tiết về nguyên nhân cụ thể cũng như tổng thiệt hại của vụ việc.
Nguyên nhân vụ hack nhiều khả năng đến từ việc deployer private key của Stake DAO đã bị hacker kiểm soát.
BlockSec cho biết kẻ tấn công đã sử dụng private key này để chỉnh sửa cấu hình cross-chain bridge của token vsdCRV, chuyển hệ thống sang kết nối với một contract do chính hacker kiểm soát trên Ethereum.
.@StakeDAOHQ was reportedly exploited via a deployer key compromise, resulting in ~5.44T $vsdCRV minted to the attacker. The attacker appears to have obtained the deployer’s private key and set an arbitrary peer for $vsdCRV. Using that peer, they forged a malicious message that…
— BlockSec Phalcon (@Phalcon_xyz) May 27, 2026
Sau đó, hacker tiếp tục tạo một thông điệp giả mạo trên LayerZero gửi ngược về Arbitrum. Vì hệ thống lúc này đã tin tưởng contract giả kia là hợp lệ, cơ chế mint token đã được kích hoạt mà không gặp bất kỳ giới hạn nào, cho phép hacker tự tạo ra hơn 5.400 tỷ vsdCRV vào ví của mình.
Mặc. dù vậy, các công ty bảo mật nhấn mạnh đây không phải lỗi của smart contract hay lỗ hổng từ LayerZero. Vấn đề nằm ở việc một private key có quá nhiều quyền kiểm soát hệ thống đã bị lộ, từ đó khiến hacker có thể thao túng toàn bộ cơ chế mint token.
Ông Shalev Keren, đồng sáng lập kiêm Giám đốc Sản phẩm của Sodot, nhận định sự cố của Stake DAO gần như giống hệt vụ hack Wasabi hồi tháng trước và cho thấy vấn đề quản lý private key của các dự án đang quá lỏng lẻo.
Ông chia sẻ thêm rằng toàn bộ vụ việc xảy ra chỉ trong khoảng hơn 20 giây sau khi cấu hình bridge bị thay đổi. Không có multisig, không timelock và cũng không có bất kỳ khoảng delay nào giữa lúc cập nhật cấu hình và lúc quyền mint token được thực thi trên on-chain.
Điều này đồng nghĩa với việc chỉ cần lấy được private key quan trọng nhất của hệ thống, hacker gần như có thể kiểm soát toàn bộ giao thức.
Vụ việc của Stake DAO tiếp tục cho thấy DeFi đang trải qua một trong những giai đoạn bị tấn công nặng nề nhất trong nhiều năm trở lại đây.
Theo thống kê từ DefiLlama, chỉ từ tháng 04/2026 đến nay, thị trường DeFi đã ghi nhận hàng chục vụ hack với tổng thiệt hại vượt 600 triệu USD. Riêng vụ Kelp DAO đã khiến thị trường mất khoảng 292 triệu USD.
Thống kê số tiền thiệt hại từ các vụ hack trong tháng 04/2026. Nguồn: DefiLlama (Ngày 27/05/2026)
Nhiều chuyên gia cho rằng sự phát triển của AI đang khiến các cuộc tấn công trở nên nguy hiểm hơn rất nhiều. Hacker giờ đây có thể dùng AI để tự động rà soát hệ thống, phân tích logic smart contract và tìm lỗ hổng với tốc độ nhanh hơn trước đáng kể.
Ông Manuel Aráoz, Giám đốc chiến lược của OpenZeppelin, thậm chí còn gây chú ý khi nhận định rằng toàn bộ thị trường DeFi đều không an toàn, bởi lợi thế đang ngày càng nghiêng về phía hacker thay vì đội ngũ bảo mật.
Giá token SDT của dự án ngay sau thông tin trên đã sụt giảm hơn 7% và hiện đang dao động quanh mức 0,1 USD.
Biến động giá token SDT trong 24 giờ qua, ảnh chụp màn hình trên CoinGecko lúc 07:20 PM ngày 27/05/2026
Coin68 tổng hợp
Stake DAO hack tấn công#Stake #DAO #bị #tấn #công #hacker #mint #hơn #tỷ #vsdCRV #để #bán #tháo #sang #ETH1779893862
