Хакер сгенерировал 5,4 трлн vsdCRV, но вывел лишь $91 тыс. из-за низкой ликвидности

По данным блокчейн-компании PeckShield, злоумышленник взломал ключ развертывания StakeDAO на платформе Arbitrum и сгенерировал более 5,4 трлн токенов vsdCRV. Однако из-за низкой ликвидности пулов ему удалось обменять лишь часть монет, получив около $91 тыс. в эфире (ETH).

Аналитик EmberCN подсчитал, что номинальная стоимость сгенерированных токенов составляла около $763 млрд, однако эта цифра не отражает реальной прибыли хакера или подтвержденного убытка протокола. Бо?льшая часть токенов не могла быть продана из-за отсутствия достаточной ликвидности.

Глава крипто-компании Sodot Шалев Керен отметил, что инцидент структурно похож на другие атаки с компрометацией ключей развертывания, произошедшие в этом году. По его словам, один единственный ключ на Arbitrum был использован для перенаправления конфигурации моста vsdCRV на управляемый злоумышленником контракт в сети Ethereum.

Через 25 секунд после этого контракт отправил сообщение через LayerZero обратно на Arbitrum, что привело к эмиссии более 5 трлн vsdCRV на адрес атакующего. Керен подчеркнул, что уязвимость связана не с кодом смарт-контракта или протоколом LayerZero, а с единой точкой отказа — приватным ключом, контролирующим привилегированную функцию конфигурации.

StakeDAO подтвердил факт инцидента и предупредил пользователей не взаимодействовать с vsdCRV. Эксперты отмечают, что в 2026 году для DeFi-протоколов главной проблемой становится не только аудит контрактов, но и безопасность операционных ключей, которые по-прежнему могут оставаться едиными точками отказа.