在 StakeDAO 部署密钥疑似遭攻破后，攻击者在 Arbitrum 网络上成功铸造了超过 5.4 万亿枚 vsdCRV 代币，然而受限于市场流动性，实际变现金额仅为约 9.1 万美元。区块链安全公司 PeckShield 在周三发布的报告中指出，攻击者将部分铸造出的 vsdCRV 兑换为 43.7 枚 ETH，总价值约为 9.1 万美元，并迅速将这笔资金转移至以太坊主网。午方 AI 梳理发现，链上分析师 EmberCN 进一步确认，攻击者实际兑换的代币数量约为 1683 万枚，而剩余的海量代币因流动性枯竭无法变现。尽管这 5.4 万亿 vsdCRV 在纸面上估值高达约 7630 亿美元，但这一数字既不代表攻击者的真实获利，也不反映协议的实际损失，深刻揭示了去中心化金融中代币名义价值与实际可提取价值之间的巨大鸿沟。

StakeDAO 方面已确认知晓该事件，并紧急警告用户切勿与 vsdCRV 代币进行任何交互。加密货币密钥管理公司 Sodot 的首席产品官兼联合创始人 Shalev Keren 向媒体分析指出，此次事件在结构上与今年发生的其他部署密钥失窃案高度相似，包括上个月导致约 550 万美元资产被盗的 Wasabi 事件。Keren 详细解释了攻击路径：攻击者利用 StakeDAO 在 Arbitrum 上的部署密钥，将 vsdCRV 代币的跨链桥接配置篡改为指向其控制的以太坊合约。随后，该合约在约 25 秒内向 Arbitrum 发送了一条 LayerZero 消息，触发机制自动铸造了 5 万亿枚 vsdCRV 并落入攻击者手中。

午方 AI 注意到，Shalev Keren 强调本次攻击并非源于智能合约本身的代码漏洞，LayerZero 技术本身也未出现问题。真正的风险点在于一把私钥控制着具有特殊功能的配置选项，且该配置更改一旦生效，代币铸造过程没有任何延迟机制。这种单点故障使得攻击者能够瞬间完成大规模铸币操作。Keren 研判认为，对于 2026 年的去中心化金融协议而言，核心挑战已不再局限于合约是否经过审计，而在于支撑这些合约运行的操作密钥是否仍存在单点故障风险，密钥管理的去中心化与多重签名机制将成为行业安全的重中之重。