区块链安全公司 Blockaid 表示，StakeDAO 在 Arbitrum 遭遇一起异常增发事件。攻击者疑似获取协议部署者私钥后，修改了 LayerZero 相关信任配置，并伪造跨链铸币消息，增发出逾 5.4 万亿枚 vsdCRV。

私钥泄露后篡改对端

Blockaid 称，问题不在代币合约本身，而在部署者钱包权限被控制。攻击者随后修改 StakeDAO 的 vsdCRV OFT 合约中 setPeer() 配置，把原本指向以太坊侧合法适配器的信任关系，替换为其控制的合约。

在这一改动完成后，攻击者向 Arbitrum 发送伪造的跨链消息，从空地址铸造出 5,446,744,073,709 枚 vsdCRV。按 Blockaid 的说法，这次事件本质上是管理权限被滥用，而不是智能合约计算逻辑出现漏洞。

多个 DEX 出现抛售

独立链上调查者随后还原了攻击路径，称攻击者先通过 Tornado Cash 为准备钱包注资，再借助 Relay 和 Stargate 在不同链之间转移资产。

调查显示，攻击者在 Arbitrum 上将新铸造的代币迅速换成 ETH，涉及的去中心化交易渠道包括 Curve、KyberSwap、MetaMask Router 和 Enso。虽然增发数量极大，但实际套取的资金相对有限。

• 异常增发数量：5,446,744,073,709 枚 vsdCRV
• 估算转出金额：约 43.9 枚 ETH
• 事发时对应价值：约 9.1 万美元

这些资金随后被从 Arbitrum 转回以太坊。报道发出时，相关 ETH 据称仍停留在以太坊地址中，尚未进一步移动。

管理密钥风险再受关注

这起事件再次引发市场对 DeFi 运维安全的关注。此次攻击并未直接利用代币数学模型或合约代码缺陷，而是通过控制高权限账户，改写跨链验证中的信任关系，进而取得事实上的增发能力。

事件也带动了业内对 DeFi 风险面的讨论。OpenZeppelin 创始人 Manuel Aráoz 在 X 上表示，他现在认为“整个 DeFi 都不安全”，理由是 AI 编码代理正越来越擅长发现运维、协议设计和安全配置中的薄弱点。

不过，Marc Zeller 对这一说法提出反驳，认为近期多数 DeFi 事故更接近运维安全和风险管理失误，而非智能合约代码本身存在系统性缺陷。