Злоумышленник получил доступ к приватному ключу развертывания, с помощью которого изменил настройки компонента LayerZero v2 OFT в контракте токена vsdCRV, заменив узел вредоносным. Затем отправил поддельное межсетевое сообщение, которое и запустило эмиссию токенов на адрес хакера.
5,4 трлн vsdCRV имели номинальную стоимость около $763 млрд, однако из-за слишком низкой ликвидности хакеру удалось обменять только 16,83 млн vsdCRV на 43,7 ETH стоимостью чуть больше $91 000. Обмен происходил через несколько децентрализованных бирж, включая Curve и KyberSwap.
Злоумышленник использовал всю доступную ликвидность постепенно: сначала обменивал на площадке Curve партии по 963 820 vsdCRV на токены CRV, затем на площадке KyberSwap дополнительные партии — на эфир. И так до тех пор, пока пулы не были полностью исчерпаны. Оставшиеся триллионы токенов невозможно обменять из‑за отсутствия ликвидности — они так и хранятся на кошельке хакера.
Stake DAO подтвердила взлом и призвала пользователей не взаимодействовать с токеном vsdCRV.
Случай схож с недавним взломом Echo Protocol: тогда хакер похитил 1000 обернутых биткоинов стоимостью около $76,45 млн, но смог вывести лишь $860 000 из‑за аналогичных ограничений ликвидности.
