区块链安全公司Blockaid发出即时警报，侦测到DeFi收益协议Stake DAO在Arbitrum上正遭受持续性攻击。攻击者铸造了超过5.4兆枚vsdCRV(Vote Boosted sdCRV)代币，并正在将其兑换为ETH。

  Blockaid判断根本原因为Stake DAO部署者私钥(0x000755F…1ff62)遭外泄。攻击者取得该私钥后，在vsdCRV代币合约上呼叫setPeer函式，重新配置LayerZero v2 OFT(Omnichain Fungible Token)的跨链对等节点设定，将原本指向以太坊主网合法vsdCRVOFTAdapter的信任关系，导向攻击者部署的恶意合约。完成信任重导后，攻击者在Arbitrum上执行跨链铸造，凭空产出大量vsdCRV并开始抛售。

又一起LayerZero相关的跨链漏洞

  这并非LayerZero跨链架构今年第一次成为攻击向量。4月Kelp DAO遭北韩黑客窃取2.93亿美元，攻击者同样利用LayerZero的跨链验证机制弱点。不同的是，Kelp DAO是DVN(去中心化验证网络)的单点验证器被攻破，Stake DAO则是部署者私钥本身外泄，让攻击者能够直接修改合约设定。

  Stake DAO的vsdCRV是Curve生态的治理代币，允许sdCRV持有者透过委托veSDT提升投票权重。本次攻击尚在进行中，最终损失金额取决于攻击者能从流动性池中抽走多少ETH。

  Blockaid呼吁所有使用者暂停一切Stake DAO相关操作。

  今天Open Zeppelin联合创办人Manuel Araoz才刚公开喊话「所有DeFi都不安全」，Stake DAO的部署者私钥外泄，再次印证了他的判断。

  Stake DAO这次攻击的手法是什么？

  攻击者取得Stake DAO部署者的私钥后，利用该许可权重新配置LayerZero v2 OFT跨链合约的对等节点(setPeer)，将信任从合法以太坊端合约导向恶意合约，接着在Arbitrum上凭空铸造超过5.4兆枚vsdCRV并兑换ETH。

  vsdCRV是什么代币？

  vsdCRV是Stake DAO的「Vote Boosted sdCRV」代币，属于Curve生态治理体系。持有者可透过委托veSDT提升投票权重，用于Curve相关的流动性激励投票。攻击者铸造的是Arbitrum上的跨链版本。