新聞 
幣種資訊 
關於我們 
根據 The Defiant 報導,於 24 日(當地時間),老牌去中心化金融(DeFi)平台「Stake DAO」再度遭遇疑似「私鑰外洩」的駭客攻擊。攻擊者疑似取得專案的「部署者權限」,在「阿比特rum(ARB)」網路上惡意增發 5.4 兆枚「vsdCRV」代幣,隨後將部分代幣兌換成「以太幣(ETH)」,估計套現約 9.1 萬美元。此事件迅速在 DeFi 社群掀起新一波「安全警報」,凸顯「權限管理」與「金鑰保護」的重要性。
區塊鏈安全公司「Blockaid」指出,攻擊者入侵後,重新設定了 vsdCRV 所使用的「LayerZero OFT 合約」,並將「鑄幣權限」指向由駭客自行部署的「惡意合約」。Stake DAO 發行的 vsdCRV,是將「Curve Finance」的原生代幣 CRV 包裝後產生的「收益型代幣」,用戶可透過該資產參與各類收益策略。這次事件中,駭客並非直接攻擊 Curve 本身,而是鎖定 Stake DAO 合約的「權限配置」弱點下手。
在成功增發天量 vsdCRV 後,駭客先將其中一部分在鏈上兌換為 44 枚以太幣。由於 vsdCRV 在阿比特rum鏈上的「流動性池」很快被抽乾,使得多數惡意增發代幣無法繼續變現,駭客於是將已套現的資金轉移至「以太坊主網」錢包地址,降低被追蹤與凍結的風險。
Stake DAO 專案方隨後在 X 平台發文表示「已注意到異常情況」,並呼籲用戶立刻停止與「csdCRV」相關的任何互動,以避免二次損失。「Curve Finance」團隊也同步發布風險提醒,建議持有「asdCRV」作為抵押品、並使用「LlamaLend」借貸的用戶,儘快主動平倉或調整部位,以降低潛在清算風險。
Stake DAO 自 2021 年上線以來,已運營超過五年,但安全事件並非首次發生。今年 3 月,其「Votemarket」獎勵機制就曾因「外部預言機更新機制」存在漏洞而遭到攻擊,阿比特rum與「Base」兩條鏈合計損失約 17.5 萬美元。不過,當時大部分資金最終被歸還,未造成全面性災難。此次疑似「金鑰外洩」事件,則再度凸顯老牌協議在「長期維運」過程中累積的技術與管理風險。
在這起 Stake DAO 事件之前,DeFi 安全性已是社群內高度爭論的議題。「OpenZeppelin」共同創辦人「馬努埃爾·阿拉奧斯(Manuel Araoz)」就在攻擊發生前於 X 上警告,整體 DeFi 生態「並不安全」,並點名 AI 驅動的「程式碼代理(Coding Agents)」可能會引入難以覺察的新型錯誤,進而讓原本被視為「低風險藍籌」的協議,例如「Aave(AAVE)」、「MakerDAO(MKR)」、「Compound(COMP)」也暴露在額外風險之下。
不過,前 Aave 代表委託人「馬克·澤勒(Marc Zeller)」隨即反駁,稱這種說法「極不負責任且誇大」。他認為,多數 DeFi 損失並非源自「智慧合約本身的致命漏洞」,而是來自「參數設置不當」、「抵押品價格崩跌」以及「內部安全管理鬆散」等因素。這意味著,協議設計與治理層面的「人為決策」,往往比程式碼漏洞本身更容易引發系統性風險。
「Yearn」核心開發者「banteg」也在近期多起駭客攻擊後提醒,哪怕是看似微小的「權限配置」與「設定失誤」,在 DeFi 環境中都可能演變為「致命打擊」。他指出,近期多數大型攻擊案例,關鍵癥結都集中在「權限帳號與私鑰遭盜用」、「管理金鑰外洩」、或「合約部署與升級流程中出現設定錯誤」,而非傳統認知中的「程式碼邏輯錯誤」。
評論:
這次 Stake DAO 的 vsdCRV 事件,再次凸顯「權限管理」在 DeFi 安全中的核心地位:只要「部署者權限」或「多簽金鑰」管理稍有鬆懈,就可能被放大為「天量代幣惡意增發」這種系統級風險。對協議方而言,未來在導入「AI 輔助開發」與「跨鏈消息協議」時,更需要引入獨立審計、權限分層、多簽與硬體錢包等防線。對一般使用者來說,持續關注協議的「權限架構」、「升級機制」與「審計紀錄」,將會越來越成為評估 DeFi 協議風險的關鍵指標。
留言 0