StakeDAO攻击者铸造5.4万亿vsdCRV，由于流动性薄弱获利91,000美元

一名攻击者于2026年5月27日利用StakeDAO的vsdCRV代币漏洞，在Arbitrum网络上铸造了5.4万亿代币。然而，由于代币池的流动性有限，实际利润仅为91,000美元。区块链安全公司PeckShield证实，攻击者将43.7 ETH（约合91,000美元）兑换后转移至以太坊网络。

此次攻击被认为是由于部署密钥泄露导致的，这是去中心化金融（DeFi）中反复出现的漏洞。链上分析师EmberCN指出，攻击者交换了1683万vsdCRV，而其余铸造的代币——账面价值7630亿美元——实际上无法流通。根据市场数据，该代币的市场价格在24小时内暴跌了98.7%。

部署密钥漏洞详情

据加密密钥管理公司Sodot的Shalev Keren表示，一把被泄露的部署密钥被用来操纵vsdCRV的跨链桥配置。通过将桥的目标地址重定向到攻击者控制的以太坊合约，攻击者触发了在Arbitrum上的vsdCRV铸造操作。这种攻击绕过了治理和时间锁保护，突出了DeFi协议中中心化管理员密钥的风险。

StakeDAO承认了此次安全漏洞，并警告用户不要与vsdCRV交互。Keren解释道：“智能合约本身没有漏洞，问题出在单点故障的密钥管理上，这在2026年仍然是一个系统性风险。”这一事件类似于最近的其他攻击，例如5月19日Echo Protocol的漏洞，其中管理员密钥泄露导致了7700万美元的资金被盗。

市场影响与趋势

StakeDAO漏洞突显了DeFi中一个重要的缺陷：名义上的代币发行与可提取价值之间的脱节。尽管攻击者可以铸造大量代币，但他们的财务收益受到流动性限制。在此案例中，攻击者的收益仅为理论估值的一小部分，这反映了vsdCRV流动性池的薄弱。

更广泛的问题是私人密钥泄露的持续性。仅在2026年5月，多个高调攻击利用了被泄露的管理员密钥，包括5月24日StablR漏洞导致的280万美元损失，以及更早的Wasabi Protocol事件，后者导致了550万美元的资金损失。这些事件揭示了一个令人担忧的模式：操作漏洞，而非合约漏洞，正成为DeFi攻击的主要途径。

StakeDAO和DeFi安全的下一步是什么？

StakeDAO的vsdCRV代币现已跌至$0.000000000012，市值仅为180万美元，反映了此次漏洞的影响。此事件为DeFi协议敲响了警钟，提醒其重新评估对单签名密钥的依赖。多签名配置和时间锁机制可能会减轻这些风险，但在整个行业中的采用仍不均衡。

对于交易者来说，StakeDAO漏洞突显了在评估代币价值时流动性的重要性。不流动的资产可能会使巨大的名义收益变得无关紧要，如此次攻击所展示的那样。同时，DeFi参与者应关注密钥管理方面的持续发展，以评估其参与的其他协议的安全性。

DeFi生态系统能否解决这些系统性漏洞将对其长期生存能力至关重要。在此之前，密钥管理风险可能会在2026年持续成为头条新闻。