Un atacante comprometió la clave de desarrollo vinculada a StakeDAO en la red de Arbitrum el miércoles 27 de mayo, lo que permitió la emisión masiva de más de 5,4 billones de tokens vsdCRV. Sin embargo, la liquidez disponible en los fondos limitó las ganancias reales a unos 91.000 dólares. La firma de seguridad PeckShield confirmó que el atacante intercambió una pequeña fracción de los tokens acuñados por un total de 43,7 Ether (ETH) antes de transferir los fondos obtenidos hacia la red principal de Ethereum de forma inmediata.
#PeckShieldAlert 5.4 trillion $vsdCRV was minted on #Arbitrum @StakeDAOHQ.
The exploiter has swapped part of the $vsdCRV for 43.781 $ETH ($91.17K) & bridged them to Ethereum (0xeF3C…aa25). pic.twitter.com/EUuUOsUYe9
— PeckShieldAlert (@PeckShieldAlert) May 27, 2026
La firma de seguridad detalló el movimiento inicial en una actualización de PeckShieldAlert en X, donde se evidenció la ruta seguida por los activos digitales robados. Por su parte, el investigador de datos en cadena EmberCN especificó que el atacante solo consiguió cambiar aproximadamente 16,83 millones de vsdCRV debido a la falta de profundidad del mercado.
StakeDAO 部署者的私钥被盗,1 小时前被黑客铸造了 5.4 万亿枚 vsdCRV,名义价值 $7630 亿。
不过因为 vsdCRV 流动性极差,就几万刀的池子。所以黑客通过多个 DEX 市场也只是把 1683 万 vsdCRV (名义价值 $235 万) 换到了 43.7 枚 ETH ($9.1 万)。余下的已经没有流动性给他走了。… pic.twitter.com/pAh5pSaCDJ
— 余烬 (@EmberCN) May 27, 2026
Según los datos publicados por EmberCN en su cuenta en X, se estimó que la emisión total de 5,4 billones de vsdCRV equivalía teóricamente a unos 763.000 millones de dólares en papel, una cifra astronómica que refleja la brecha extrema entre las valoraciones nominales de los activos digitales y la liquidez real extraíble en el sector de las finanzas descentralizadas o Defi.
El incidente no se originó por un error en el código de los contratos inteligentes ni por una falla en la infraestructura de mensajería de LayerZero. Según explicó Shalev Keren, director de producto y cofundador de la firma de gestión de claves criptográficas Sodot, el ataque se debió enteramente al compromiso de una única clave privada de desarrollo en Arbitrum. Esta clave, que poseía privilegios de administración avanzados, modificó la configuración del puente de cadena cruzada para apuntar hacia un contrato malicioso controlado por el atacante dentro del entorno de Ethereum.
Apenas 25 segundos después de este cambio de configuración, dicho contrato envió una instrucción a través de LayerZero que ordenó a la red de Arbitrum acuñar la millonaria suma de tokens a favor de la dirección del atacante. El proceso automatizado se ejecutó sin resistencia debido a la confianza implícita depositada en las claves de desarrollo del protocolo.
La manipulación de los parámetros del puente de cadena cruzada expone los riesgos asociados a la gobernanza centralizada de contratos modificables. En el ecosistema actual, la velocidad con la que se ejecutan los mensajes automatizados entre redes puede actuar en contra de la recuperación de fondos si no existen mecanismos de pausa automáticos o retrasos temporales en la ejecución. El contrato controlado por el atacante explotó la confianza preestablecida del puente sin activar alertas tempranas, completando todo el ciclo de emisión en menos de medio minuto de forma ininterrumpida.
Seguridad operativa y puntos únicos de falla
La vulnerabilidad operativa observada en este caso guarda una relación directa con otros incidentes recientes dentro de la tecnología blockchain. Keren señaló que la estructura de este ataque es idéntica a la filtración de claves sufrida por el protocolo Wasabi en abril de 2026, la cual drenó aproximadamente 5,5 millones de dólares en criptoactivos en pocos minutos.
El especialista enfatizó que el riesgo central para los proyectos en 2026 ya no radica únicamente en la presencia de auditorías de código exhaustivas, sino en la centralización de las claves de configuración de los sistemas de contratos. Estas claves actúan como puntos únicos de falla al carecer de esquemas de firmas múltiples o de tiempos de espera obligatorios entre la aprobación de un cambio de configuración y su ejecución en la cadena de bloques.
La respuesta comunitaria y de los proveedores de liquidez también determinó el techo del impacto financiero final. Al no contar con pools de intercambio densos para el par vsdCRV, los algoritmos de creación de mercado automatizada aplicaron un deslizamiento de precios tan severo que redujo el valor de cambio de las transacciones subsecuentes a cero, imposibilitando el drenaje de otros activos de la tesorería de StakeDAO.
Tras detectar la anomalía en la emisión de vsdCRV, el equipo de StakeDAO emitió una alerta pública confirmando que estaba al tanto del problema operativo y advirtió formalmente a sus usuarios no interactuar con el token afectado. El caso permanece bajo observación mientras las plataformas de seguridad rastrean el destino final de los fondos transferidos.
Este artículo tiene fines informativos y no constituye asesoramiento financiero.
