Por Canuto Stake DAO quedó bajo alerta de seguridad luego de que varias firmas de investigación blockchain reportaran un exploit en curso en Arbitrum, presuntamente vinculado con el compromiso de una clave privada del deployer, que permitió al atacante acuñar más de 5,4 billones de vsdCRV y comenzar a cambiarlos por ETH.
***
- Blockaid alertó sobre un exploit en curso contra Stake DAO en Arbitrum, en el que el atacante acuñó más de 5,4 billones de vsdCRV.
- La causa raíz sospechada es el compromiso de la clave privada del deployer de Stake DAO, usada para reconfigurar un peer OFT de LayerZero v2.
- PeckShield indicó que parte de los tokens ya habían sido cambiados por 43,78 ETH, unos USD $91.000, y enviados mediante puente hacia Ethereum.
🚨 Alerta de hackeo en StakeDAO 🚨
Un atacante comprometió la clave privada del deployer en Arbitrum.
Resultó en la acuñación de más de 5,4 billones de vsdCRV.
El atacante cambió parte de los tokens por 43,78 ETH.
Stake DAO advierte a los usuarios a no interactuar con vsdCRV.… pic.twitter.com/KCxYEBJ8FC
— Diario฿itcoin (@DiarioBitcoin) May 27, 2026
Stake DAO, una plataforma DeFi enfocada en estrategias automatizadas de rendimiento, enfrenta un exploit en curso después de que varias firmas de seguridad blockchain alertaran sobre una acuñación masiva no autorizada del token vsdCRV en Arbitrum.
Blockaid informó este miércoles 27 de mayo de 2026 que el atacante acuñó más de 5,4 billones de vsdCRV y comenzó a intercambiarlos activamente por ETH. El incidente fue reportado inicialmente en X, donde la firma de seguridad señaló que el ataque seguía en desarrollo.
De acuerdo con The Block, PeckShield también identificó movimientos asociados al exploit y dijo que, hasta ese momento, una parte de los tokens había sido cambiada por 43,78 ETH, equivalentes a unos USD $91.000, y enviada mediante puente hacia Ethereum.
Stake DAO indicó que estaba al tanto de la situación y pidió a los usuarios no interactuar con vsdCRV. La advertencia es relevante porque, en un ataque de acuñación masiva, el token afectado puede quedar severamente distorsionado en precio, liquidez y confiabilidad operativa.
vsdCRV, o vote-boosted sdCRV, es un token derivado relacionado con rendimiento dentro del ecosistema de Curve Finance y utilizado en Stake DAO. El incidente afecta especialmente a usuarios y protocolos expuestos a este activo en Arbitrum.
Qué ocurrió con vsdCRV en Arbitrum
El dato central del ataque es la acuñación de una cantidad extraordinaria de tokens. Blockaid señaló que el atacante generó 5.446.744.073.709 vsdCRV, es decir, cerca de 5,4 billones de unidades del activo.
Esa emisión irregular se produjo en Arbitrum, una red de segunda capa de Ethereum usada por protocolos DeFi para reducir costos de transacción y mejorar velocidad operativa. La magnitud de la acuñación elevó de inmediato el riesgo de presión vendedora sobre cualquier mercado donde vsdCRV tuviera liquidez disponible.
El atacante no solo acuñó los tokens, sino que comenzó a cambiarlos por ETH. Este paso suele agravar el impacto económico de un exploit porque convierte activos emitidos de forma fraudulenta en un activo líquido y ampliamente aceptado dentro del ecosistema cripto.
La alerta de Blockaid incluyó referencias a varias transacciones clave: el despliegue de un par malicioso, una acuñación cross-chain, una operación setPeer realizada antes de la acuñación y la transacción de mint en Arbitrum. Estos elementos apuntan a una manipulación de la configuración de confianza entre contratos vinculados con LayerZero v2.
En términos simples, el ataque no parece depender de una venta ordinaria ni de una falla de mercado, sino de una alteración técnica que permitió que el sistema reconociera como legítimo un mensaje malicioso entre cadenas. Esa diferencia es importante porque ubica el incidente en el terreno de la seguridad operacional y la administración de permisos privilegiados.
La causa sospechada: una clave privada comprometida
La causa raíz sospechada, según los investigadores, es el compromiso de la clave privada del deployer de Stake DAO. La dirección señalada en los reportes es 0x000755Fbe4A24d7478bfcFC1E561AfCE82d1ff62.
Con ese acceso, el atacante habría reconfigurado el peer OFT de LayerZero v2 en el contrato del token vsdCRV, conocido como Vote Boosted sdCRV. La modificación habría redirigido la confianza desde el vsdCRVOFTAdapter legítimo del lado de Ethereum hacia un contrato malicioso desplegado por el atacante.
BlockSec explicó que el atacante aparentemente obtuvo la clave privada del deployer y configuró un peer arbitrario para vsdCRV. A través de ese peer, habría falsificado un mensaje malicioso que activó una acuñación incondicional de aproximadamente 5,44 billones de vsdCRV hacia su propia dirección.
Para lectores menos familiarizados con este tipo de arquitectura, OFT significa Omnichain Fungible Token. Es un modelo que permite que un token exista o se sincronice entre varias redes, usando mensajes cross-chain para coordinar saldos, acuñaciones, quemas o transferencias entre contratos ubicados en distintas cadenas.
El problema surge cuando una dirección con permisos críticos puede cambiar qué contrato remoto es considerado confiable. Si esa configuración cae bajo control de un atacante, el sistema puede aceptar instrucciones falsas como si vinieran de una contraparte legítima.
LayerZero, permisos privilegiados y ausencia de bug en el contrato
Shalev Keren, cofundador y director de producto de Sodot, dijo a The Block que el exploit de Stake DAO es estructuralmente similar al incidente de Wasabi del mes pasado y a otros compromisos de claves de deployer registrados este año.
Según Keren, la clave del deployer de Stake DAO en Arbitrum fue usada para redirigir la configuración del puente cross-chain de vsdCRV hacia un contrato controlado por el atacante en Ethereum. Unos 25 segundos después, ese contrato envió un mensaje de LayerZero de regreso, lo que provocó que el token legítimo en Arbitrum acuñara más de cinco billones de vsdCRV al atacante.
Keren enfatizó que, según su lectura, no hubo un bug de contrato inteligente ni una falla en LayerZero. El problema habría sido una sola clave privada con control sobre una función privilegiada de configuración, sin multisig y sin demora entre el cambio de configuración y la acuñación on-chain.
Esa observación es clave para entender el tipo de riesgo que enfrenta DeFi. En muchos exploits, el código auditado puede funcionar de acuerdo con lo programado, pero las funciones administrativas asociadas al contrato permiten cambios de configuración con consecuencias críticas.
En este caso, la preocupación no se limita a Stake DAO. El episodio refuerza el debate sobre la concentración de permisos privilegiados en protocolos DeFi, incluso cuando estos han sido auditados. Una auditoría puede revisar la lógica del contrato, pero no necesariamente elimina el riesgo operacional de una clave privada comprometida.
Un nuevo golpe en un periodo difícil para DeFi
El ataque contra Stake DAO ocurre durante uno de los periodos más duros para la seguridad DeFi. Según el informe citado, decenas de protocolos han sido hackeados por más de USD $600 millones desde abril.
El caso más grande mencionado en ese periodo fue el exploit de Kelp DAO, por USD $292 millones. Esa cifra coloca el incidente de Stake DAO dentro de una tendencia más amplia de ataques contra protocolos de finanzas descentralizadas.
El martes previo, Manuel Aráoz, de la firma de seguridad cripto OpenZeppelin, afirmó que considera que “todo DeFi” es inseguro, aludiendo a la asimetría entre atacantes y defensores. Su comentario refleja una preocupación creciente: los atacantes solo necesitan encontrar un punto débil, mientras los equipos defensivos deben proteger todos los componentes todo el tiempo.
El informe también menciona que esta etapa de exploits parece estar impulsada por avances en inteligencia artificial. La referencia apunta a que nuevas herramientas pueden estar facilitando la identificación de vulnerabilidades, análisis de código, automatización de ataques o explotación de debilidades operacionales.
Aunque no todos los incidentes tienen la misma naturaleza, el patrón es preocupante. Algunos ataques explotan bugs en contratos; otros, como el de Stake DAO según los investigadores, se relacionan con claves privadas, permisos administrativos o configuraciones cross-chain.
Riesgos para usuarios y próximos pasos
Stake DAO pidió a los usuarios no interactuar con vsdCRV mientras se atiende la situación. Esta recomendación es especialmente importante porque cualquier operación con el token afectado puede exponer a usuarios a precios distorsionados, liquidez contaminada o contratos relacionados con el exploit.
En escenarios de acuñación fraudulenta, el mercado puede tardar en determinar cuál es el valor real del activo. Si el atacante vende tokens recién emitidos contra pools de liquidez, otros usuarios pueden quedar con activos depreciados o con exposición a una oferta inflada artificialmente.
El caso también muestra que los riesgos cross-chain no dependen únicamente del puente o del protocolo de mensajería. La seguridad final depende de cómo cada proyecto administra sus permisos, sus claves, sus contratos remotos confiables y sus mecanismos de actualización.
Un punto crítico señalado por Keren es la ausencia de multisig y de un periodo de espera entre la modificación de configuración y la ejecución efectiva de la acuñación. En DeFi, los multisig y timelocks suelen funcionar como capas de defensa para evitar que una sola clave comprometida pueda ejecutar cambios críticos de forma inmediata.
Por ahora, el alcance final del daño sigue sujeto a investigación. Lo confirmado por los reportes disponibles es que varias firmas de seguridad identificaron el exploit en curso, que el atacante acuñó más de 5,4 billones de vsdCRV, que parte de los tokens ya fueron cambiados por ETH y que la causa raíz sospechada es el compromiso de una clave privada con permisos privilegiados.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
China
China moderniza su red de cámaras y amplía vigilancia masiva con tecnología IA
Empresas
CEO tecnológicos y la “psicosis por IA”: auge, despidos y caos organizacional
IA
YouTube etiquetará automáticamente videos con IA y hará más visibles sus avisos
Empresas