Arturo Trenard
Exploit en StakeDAO mina 5,4 billones de vsdCRV pero solo obtiene $91.000 por escasa liquidez
Un atacante comprometió una clave de deployer vinculada a StakeDAO en Arbitrum, acuñando más de 5,4 billones de tokens vsdCRV. Sin embargo, debido a la escasa liquidez de los pools, el atacante solo pudo intercambiar 16,83 millones de vsdCRV por aproximadamente 43,7 ETH (unos $91.000), que luego fueron puenteados a Ethereum. El incidente revela la brecha entre el valor nominal de los tokens y el valor realmente extraíble en exploits de finanzas descentralizadas (DeFi).
Datos clave del exploit
La plataforma afectada fue StakeDAO en Arbitrum, con el token vsdCRV como objetivo del ataque. Según la firma de seguridad blockchain PeckShield, que confirmó el exploit el miércoles, el atacante acuñó más de 5,4 billones de tokens vsdCRV. El analista onchain EmberCN estimó el valor nominal de los tokens acuñados en aproximadamente $763.000 millones, basándose en la cantidad total de 5,4 billones de vsdCRV.
La ganancia real del atacante, no obstante, fue de apenas $91.000 (43,7 ETH), ya que solo pudo canjear 16,83 millones de vsdCRV. El resto de los tokens carecía de liquidez significativa para ser retirados. Tras el ataque, el atacante puenteó los 43,7 ETH a Ethereum, mientras StakeDAO advirtió a los usuarios que no interactúen con vsdCRV.
Cómo ocurrió el ataque
El origen del exploit fue una clave de deployer de StakeDAO en Arbitrum que resultó comprometida. Esta clave se utilizó para redirigir la configuración del puente cross-chain de vsdCRV hacia un contrato controlado por el atacante en Ethereum. Aproximadamente 25 segundos después del redireccionamiento, el contrato malicioso envió un mensaje de LayerZero de vuelta a Arbitrum, lo que provocó que el token legítimo en Arbitrum acuñara más de 5 billones de vsdCRV para el atacante.
Shalev Keren, CPO y cofundador de Sodot, señaló que el incidente es «estructuralmente similar» a otros compromisos de claves de deployer en 2026, como el caso de Wasabi el mes pasado, donde se drenaron $5,5 millones.
«No hay un bug en el smart contract ni una falla en LayerZero. Hay una sola clave privada que controla una función de configuración privilegiada, sin multifirma ni demora entre el cambio de configuración y la acuñación en cadena», afirmó Keren en declaraciones a Cointelegraph.
Contexto y lecciones para DeFi
El exploit pone de relieve un problema más amplio para los protocolos DeFi en 2026. El riesgo ya no reside únicamente en si los contratos inteligentes están auditados, sino en si las claves operativas detrás de esos contratos siguen siendo puntos únicos de falla. El caso Wasabi, ocurrido el mes pasado, también se debió a una clave de deployer comprometida, lo que refuerza la creciente preocupación por la seguridad de las claves privilegiadas en el ecosistema descentralizado.
El incidente también subraya la brecha entre el valor nominal y el valor extraíble en ataques DeFi. Si bien los atacantes pueden acuñar cantidades astronómicas de tokens, solo pueden retirar lo que permite la liquidez disponible en los pools. Según datos de DefiLlama, los hackers de criptomonedas robaron $17.000 millones en los últimos diez años.
Reacción y medidas tomadas
StakeDAO está al tanto del incidente y ha pedido a los usuarios que no interactúen con vsdCRV, aunque no se especificaron medidas adicionales al momento de la publicación. Por su parte, el atacante puenteó los fondos a Ethereum y no hay indicios de devolución o negociación.
El caso deja lecciones importantes para la industria DeFi: la necesidad de implementar mecanismos de multifirma y demoras temporales en cambios de configuración, así como la urgencia de fortalecer la seguridad de las claves privadas que controlan funciones privilegiadas en los protocolos descentralizados.
