- Atacante obteve chave privada do deployer e reconfigurou peer no LayerZero v2
- Foram cunhados cerca de 5,44 trilhões de tokens vsdCRV em uma carteira
- Parte do montante já foi convertida em 43,78 ETH e enviada à Ethereum
O protocolo Stake DAO foi alvo de um exploit na rede Arbitrum nesta quarta-feira, com a cunhagem indevida de aproximadamente 5,44 trilhões de tokens vsdCRV. O ataque expôs uma falha de configuração no mensageiro cross-chain LayerZero v2 e reabriu o debate sobre custódia de chaves privadas em projetos de DeFi.
Segundo apuração da empresa de segurança Blockaid, o invasor teria obtido a chave privada do endereço de deploy do protocolo. Com esse acesso, alterou a configuração de peer do contrato vsdCRV no LayerZero v2, definindo um endpoint arbitrário sob seu próprio controle.
A partir daí, bastou forjar uma mensagem cross-chain maliciosa. O contrato, ao receber a comunicação aparentemente legítima, executou a mintagem incondicional do volume bilionário de tokens diretamente na carteira do atacante. Não houve necessidade de quebrar criptografia ou explorar bug no código do LayerZero a vulnerabilidade estava na governança das chaves administrativas.
Como o atacante monetizou o ataque
Cunhar 5,44 trilhões de tokens é fácil. Vender sem derrubar o preço a zero, não. O invasor agiu rápido: dados on-chain compartilhados pela Blockaid indicam que ele já converteu parte do estoque em aproximadamente 43,78 ETH, valor próximo de US$ 91 mil com o ether negociado a US$ 2.081, ou cerca de R$ 457 mil ao câmbio de R$ 5,02.
Os fundos foram então transferidos via bridge para a rede Ethereum, padrão clássico em ataques recentes. A Ethereum mainnet oferece mais profundidade de liquidez em mixers e DEXs, dificultando o rastreamento e a recuperação dos valores pela equipe do protocolo.
A equipe do Stake DAO ainda não publicou um relatório técnico completo. Em comunicado preliminar, recomendou que usuários revoguem aprovações de contratos relacionados ao vsdCRV em suas carteiras enquanto a investigação avança. A medida tenta conter danos colaterais a holders que mantinham posições alavancadas em estratégias derivadas do CRV.
O elo fraco segue sendo a chave privada
O episódio repete um padrão observado em diversos exploits de 2024 e 2025, o código auditado funciona como esperado, mas a chave administrativa cai em mãos erradas. Casos como o do Radiant Capital, no fim de 2024, e o ataque ao Munchables seguiram lógica semelhante comprometimento operacional, não falha matemática.
Para o investidor brasileiro exposto a DeFi via protocolos derivados do Curve, o caso traz alerta direto. Estratégias de yield com vsdCRV, sdCRV e tokens correlatos perdem confiabilidade enquanto a auditoria não conclui o escopo do incidente. Plataformas que listam esses ativos costumam suspender depósitos e saques em situações como essa, e o usuário pode ficar sem acesso por dias.
Há ainda um agravante regulatório local. Decisão recente analisada pela Justiça brasileira reforçou que exchanges não são automaticamente responsáveis por perdas em ataques externos. Em protocolos descentralizados, a proteção é ainda menor, não existe atendimento, ressarcimento ou seguro padrão.
Impacto no ecossistema Curve e DeFi
O vsdCRV é um derivativo de voto sobre o CRV, token de governança do Curve Finance. Mintar trilhões de unidades pode distorcer pesos de votação em gauges do Curve, ainda que temporariamente, enquanto a equipe corre para neutralizar os tokens forjados via blacklist ou contrato substituto.
O caso também volta a chamar atenção para o risco sistêmico das pontes cross-chain. Mensagens forjadas via LayerZero, Wormhole e similares já provocaram perdas bilionárias no setor. Movimentos recentes como ataques discutidos em análises sobre exploits em DeFi sugerem que cadeias de suprimento e operações administrativas são hoje a superfície de ataque preferida pelos invasores.
O preço do CRV reagiu com queda nas primeiras horas após a divulgação, e formadores de mercado reduziram exposição a pools que utilizam o vsdCRV como colateral. A próxima etapa depende da resposta técnica da equipe e da postura dos validadores do LayerZero.
