Puntos Clave de la Noticia:
- Un atacante emitió de forma ilícita 5,44 billones de tokens de rendimiento vsdCRV en la red de escalabilidad Arbitrum.
- Firmas de seguridad blockchain confirmaron el desvío inicial de fondos hacia Ethereum por un valor estimado de 43,78 ETH.
- El incidente técnico se atribuye al compromiso directo de una clave privada del desplegador de Stake DAO, descartando fallas en contratos inteligentes.
La infraestructura de la plataforma de finanzas descentralizadas Stake DAO fue atacada. Durante la jornada del miércoles se detectó la emisión no autorizada de 5,4 billones de tokens vsdCRV en la red Arbitrum. El incidente fue confirmado por el equipo de desarrollo del protocolo a través de sus canales oficiales, además instaron a los usuarios a evitar cualquier tipo de interacción con el activo afectado.
El origen del incidente en los puentes de Arbitrum
Los reportes técnicos de la firma de seguridad Blockaid revelan que, la dirección vinculada al ataque informático comenzó el intercambio masivo del token vsdCRV por la criptomoneda Ether (ETH). Los análisis en cadena de PeckShield revelaron que el atacante logró convertir una fracción de los activos emitidos en 43,78 ETH, equivalentes a unos $91.000, fondos que posteriormente se enviaron hacia la red principal de Ethereum mediante puentes descentralizados.
🚨 Blockaid detected an ongoing exploit targeting@StakeDAOHQ on Arbitrum.
The attacker just minted over 5.4 trillion vsdCRV and is actively swapping it for ETH.
More details in 🧵
— Blockaid (@blockaid_) May 27, 2026
El activo vsdCRV funciona dentro de la plataforma como un token derivado de rendimiento vinculado directamente al ecosistema de liquidez de Curve Finance. Informes de la empresa de auditoría BlockSec señalan que el vector de ataque no se originó por una vulnerabilidad en el código informático de los contratos inteligentes. Las investigaciones preliminares de BlockSec sugieren que el atacante obtuvo acceso directo a la clave privada del desplegador (deployer) de Stake DAO en Arbitrum.
Mediante el control de esta credencial con privilegios, el atacante alteró la configuración del puente cross-chain para enlazar un contrato malicioso bajo su control directo en la red Ethereum. El cofundador de la firma de seguridad Sodot, Shalev Keren, dijo que el contrato malicioso emitió un mensaje de validación mediante la tecnología de interoperabilidad de LayerZero. Esta acción engañó al sistema central y activó la acuñación incondicional de los 5,44 billones de vsdCRV hacia la dirección del monedero del atacante.
Vulnerabilidades estructurales en el sector DeFi
Este nuevo exploit ocurre en un trimestre marcado por un aumento sustancial en los hackeos dirigidos a protocolos DeFi. Estimaciones del sector de la ciberseguridad indican que las pérdidas acumuladas por exploits superan los $600 millones desde el mes de abril de 2026, una tendencia que analistas asocian al uso de herramientas avanzadas de inteligencia artificial por parte de los atacantes.
La ausencia de un esquema de firmas múltiples (multisig) o de un mecanismo de retardo temporal (timelock) permitió la ejecución inmediata del exploit. Datos de Sodot reflejan que transcurrieron apenas veinticinco segundos entre la modificación de la configuración privilegiada y la emisión de los fondos en la blockchain. Este patrón operativo guarda similitudes estructurales con el ataque sufrido por el protocolo Wasabi el mes pasado.
El equipo de Stake DAO mantiene las operaciones de emisión temporalmente suspendidas mientras se coordina con proveedores de infraestructura y firmas de análisis forense blockchain para rastrear el movimiento de los fondos remanentes. Se espera el despliegue de un contrato corregido en Arbitrum una vez que concluya la revocación total de las funciones de la clave comprometida.
