Stake DAO遭遇新一轮代币滥铸攻击，流动性遭重创

近期，长期运营的去中心化金融平台Stake DAO再次成为黑客目标，攻击者通过非法获取部署者密钥，在Arbitrum链上大规模生成5.4万亿枚其发行的收益型代币vsdCRV，随后将部分代币兑换为以太坊资产，实现约9.1万美元的非法获利。

恶意合约渗透致流动性枯竭，项目方紧急叫停交互

据区块链监测机构Blockaid披露，攻击者利用被盗权限修改了vsdCRV的LayerZero OFT跨链协议配置，并向其部署的恶意合约授予无限铸造权。该代币为Curve Finance平台原生代币CRV的收益封装版本，其异常增发直接导致链上流动性迅速耗尽。项目方已通过社交渠道通报情况，提醒用户立即停止与csdCRV相关的所有操作。同时，Curve Finance亦发布风险提示，建议持有asdCRV资产的用户尽快清理LlamaLend头寸，防范潜在清算危机。

五年运营难逃安全困局，多起事件折射系统性风险

自2021年上线以来，Stake DAO虽持续提供服务逾五年，但屡次陷入安全风波。今年3月，其Votemarket奖励机制因预言机更新逻辑缺陷遭攻击，造成Arbitrum与Base链上合计约17.5万美元损失，其中绝大部分资金已被追回。

此次事件再度凸显当前DeFi生态所面临的严峻安全挑战。OpenZeppelin联合创始人在攻击发生前曾警告，整个领域正处“不安全状态”，并指出基于人工智能的代码生成工具可能使Aave、MakerDAO、Compound等主流项目也面临新型威胁。

然而，前Aave代表负责人对此观点表示质疑，认为该说法“过度渲染”。他强调，绝大多数损失源于参数设置失误、抵押品价值崩塌及内部安全管理疏漏，而非合约底层逻辑缺陷。Yearn核心开发者亦补充称，微小配置错误即可引发灾难性后果，近期多数攻击均集中于权限账户失控或密钥泄露等薄弱环节。

权限治理成防线核心，智能化时代需重构安全范式

本次攻击深刻揭示，尽管技术不断演进，但权限管理体系仍是保障DeFi系统稳定的关键屏障。尤其在人工智能深度介入开发流程的背景下，自动化工具可能引入隐蔽风险，促使行业亟需建立更严格的权限审计机制与密钥防护体系。系统性安全审查已成为不可忽视的战略要求。