Stake DAOでvsdCRVが不正発行、一部を1450万円相当のETHに交換済みとの報告も

vsdCRVが不正発行

DeFi（分散型金融）のリキッドステーキングプラットフォーム「Stake DAO」の公式Xアカウントは27日、vsdCRVトークンに関して起きている問題を認識していると発表した。

Stake DAOは発表の際、Web3セキュリティ企業Blockaidの投稿を引用。そのBlockaidの投稿には、アービトラム上のStake DAOを標的にした攻撃が起きていることをBlockaidが発見したこと、5.4兆vsdCRV以上が発行されてイーサリアムと交換されていることが書かれている。

公式サイトによれば、Stake DAOはガバナンストークンに特化したリキッドステーキングプラットフォーム。DefiLlamaのデータによると、運用のためにロックされた暗号資産（仮想通貨）の総価値「TVL（Total Value Locked）」は本記事執筆時点で約1.2億ドル（約195億円）である。

今回の発表に書かれているvsdCRVトークンとは、分散型取引所（DEX）Curveのガバナンストークン「CRV」に関係している。Stake DAOでCRVを預けるとsdCRVを受け取って運用に使うことができ、sdCRVのガバナンスの影響力を高めるためにvsdCRVがあるという構造だ。

Blockaidの分析

本記事執筆時点におけるBlockaidの分析によると、今回の根本的な原因は、デプロイヤーの秘密鍵が漏洩して悪用されたことである。

攻撃者は、vsdCRVトークンのコントラクトに関する設定（レイヤーゼロv2 OFTのPeer設定）を変更し、偽のクロスチェーンメッセージを送信して、5.4兆vsdCRV以上を新規発行させた。

また、今回の内容は「PeckShieldAlert」のXアカウントも27日に報告済み。原因は分析していないが、攻撃者がvsdCRVトークンの一部を43.781ETH（1,450万円相当）に交換し、イーサリアムにブリッジしたと報告した。

なお、Stake DAOは公式サイトで、全てのスマートコントラクトをサードパーティの監査企業に確認してもらうことでセキュリティを重視していると説明している。今回の問題では、監査済みのプラットフォームにおける権限や秘密鍵の管理の問題を改めて指摘する声が上がった。