-
Se acuñaron 5,4 billones de vsdCRV en Arbitrum en una sola transacción
-
El atacante obtuvo la clave privada del implementador de Stake DAO
Un atacante comprometió la clave privada del implementador de Stake DAO y acuñó 5,4 billones de tokens vsdCRV en la red Arbitrum el miércoles 27 de mayo. Según reportes, el hacker habría cambiado ya USD 100.000, el equivalente a poco más de 43 ETH.
Según la firma de seguridad BlockSec, el atacante estableció un par arbitrario para vsdCRV y falsificó un mensaje malicioso que permitió la acuñación incondicional de los tokens en su dirección.
La firma de seguridad PeckShield reportó que parte de los tokens ya fueron intercambiados por 43,78 ETH, equivalentes a aproximadamente 91.000 dólares, y puenteados hacia la red principal de Ethereum a través de la dirección 0xeF3C…aa25. Blockaid también confirmó en X que el atacante continúa intercambiando activamente los tokens por ether.
Stake DAO es una plataforma DeFi especializada en estrategias de rendimiento automatizadas. El token vsdCRV —siglas de vote-boosted sdCRV— es un derivado vinculado al ecosistema de Curve Finance. Su función dentro del protocolo lo convierte en un activo sensible para los usuarios que depositan liquidez en la plataforma.
Ante la situación, Stake DAO confirmó estar al tanto del incidente e instó a sus usuarios a no interactuar con vsdCRV hasta nuevo aviso, según publicó la organización en su cuenta de X.
Un eslabón más en la peor racha de hacks DeFi del año
Según el reporte mensual de la firma de seguridad CDSecurity, abril registró más de 30 incidentes en protocolos DeFi con pérdidas cercanas a los 635 millones de dólares, cifra que representó el 78% del total robado en el ecosistema de criptomonedas en lo que iba de 2026, según lo reportó CriptoNoticias. El exploit a Stake DAO se produce apenas cuatro semanas después de ese pico, y prolonga una racha que ya supera los 600 millones de dólares desde esa fecha, encabezada por la vulnerabilidad de Kelp DAO, que ascendió a 292 millones de dólares.
Aunque no se han dado detalles del hackeo y cómo operó, la tendencia actual abre interrogantes sobre el uso de IA. En este contexto Charles Guillemet, director de tecnología de Ledger, advirtió que la inteligencia artificial está reduciendo el costo y el tiempo necesarios para desarrollar exploits. El día anterior al incidente de Stake DAO, Manuel Aráoz, fundador de OpenZeppelin —firma de referencia en auditorías de contratos inteligentes—, sostuvo que considera «todo el ecosistema DeFi inseguro», citando la asimetría creciente entre atacantes y defensores.
Según Guillemet, pedirle a un modelo de lenguaje que analice diferencias de seguridad entre dos versiones de un programa y genere un exploit es hoy más rápido, más barato y más eficiente que cualquier método anterior. Aráoz señala que esa ventaja se amplía porque los defensores no logran escalar sus capacidades al mismo ritmo que las herramientas ofensivas.
