新聞 
幣種資訊 
關於我們 
根據區塊鏈安全公司「PeckShield」16 日(當地時間)的追蹤,與「Stake DAO」相關的「部署者金鑰」疑似在「Arbitrum(ARB)」網路遭到盜用,導致超過「5.4 兆」枚「vsdCRV」被異常「鑄造」。不過,由於相關資產池的「流動性」極度稀薄,攻擊者實際可變現的金額約為「9.1 萬美元」,遠低於代幣名目價值。
PeckShield 數據顯示,攻擊者在 16 日利用被竊取的權限,將部分「vsdCRV」兌換成約「43.7 枚以太幣(ETH)」,並隨後透過跨鏈橋將資金轉移至「以太坊(ETH) 主網」。鏈上分析師「AmberCN」進一步指出,攻擊者實際兌換的 vsdCRV 約為「1683 萬枚」,之後可利用的「做市深度」幾乎耗盡,使剩餘代幣幾乎無法脫手。
AmberCN 估算,此次異常鑄造的「5.4 兆枚 vsdCRV」,以標示價格計算的「名目價值」約為「7630 億美元」。但他強調,這個數字並不代表攻擊者實際收益,也不等同於協議真實的經濟損失,而是凸顯在「去中心化金融(DeFi)」攻擊事件中,代幣「表面價值」與「可回收價值」往往存在巨大落差。
評論:這類事件常因數字龐大而引發恐慌,但關鍵在於「可實際變現的流動性」,而非單純的鑄造數量。
Stake DAO 隨後表示,團隊已經意識到事故發生,並提醒用戶暫時避免與「vsdCRV」相關合約互動,以降低潛在風險。此次事件並非源自智慧合約邏輯本身的明顯漏洞,而是暴露了「營運金鑰管理」層面的薄弱環節,讓「單一部署者金鑰」成為攻擊突破口。
加密貨幣金鑰管理公司「Zengo」旗下的聯合創辦人兼首席產品長(CPO)「Shalev Keren(沙列夫·凱倫)」指出,此次事故在結構上與近期多起「部署者金鑰遭入侵」的 DeFi 事件相似。他表示,關鍵在於「單一部署者金鑰」掌控了具高度權限的「關鍵設定功能」,且未配置「多重簽章」與「時間延遲」等安全機制,使攻擊一旦發生,幾乎無從即時阻擋。
依據 Keren 的說明,Arbitrum 端的「單一部署者金鑰」被用來修改 vsdCRV 的「跨鏈橋設置」,將目標指向攻擊者掌控的合約。約「25 秒」後,該惡意合約再透過「LayerZero」發送訊息,觸發 Arbitrum 端的大量 vsdCRV 鑄造流程。他強調,真正的問題不在「LayerZero」機制本身,而是讓「一把私鑰」握有「一項核心權限」的設計結構。
評論:這再度證明,即便底層跨鏈訊息協議安全無虞,只要權限設計集中且缺乏監督,就會成為攻擊者優先鎖定的薄弱點。
Keren 進一步預期,「2026 年」DeFi 安全的焦點,將從過去強調「是否完成程式碼審計」,逐步轉向「營運金鑰的分散管理」與「權限治理模型」,包括多簽機制、角色分權、操作延遲與緊急暫停(circuit breaker)等設計,成為協議安全評估的重要標準。
綜合來看,這起與 Stake DAO 相關的「疑似駭侵事件」,真正值得關注的並非「5.4 兆枚 vsdCRV」這個驚人的鑄造數字本身,而是:在「流動性不足」與「營運控制鬆散」的情況下,攻擊實際造成的財務影響可以受到一定程度限制,反之,若代幣具深厚流動性且權限高度集中,損失規模可能迅速放大。DeFi 生態的「安全」,早已不只是智慧合約程式碼的問題,更涵蓋「金鑰管理」、「權限設計」與「治理流程」等完整架構。
評論:未來投資人與專業用戶在評估 DeFi 協議風險時,除了閱讀審計報告,恐怕也必須把「運營金鑰與權限機制」納入核心考量。
留言 0