El protocolo DeFi StakeDAO enfrenta una de las vulnerabilidades más delicadas registradas este año en infraestructura cross-chain después de que un atacante comprometiera una clave privada crítica y acuñara más de 5,4 billones de tokens vsdCRV sin respaldo en Arbitrum. El exploit permitió al hacker convertir parte de los activos falsificados en aproximadamente 43,78 ETH —unos 91.000 dólares al momento del ataque— y desencadenó advertencias de emergencia en protocolos vinculados como Curve Finance y Beefy Finance.
El incidente vuelve a poner bajo presión a los sistemas de interoperabilidad entre blockchains y profundiza las preocupaciones sobre los riesgos de seguridad asociados al estándar OFT (Omnichain Fungible Token) de LayerZero, una arquitectura que ya había sido señalada en ataques anteriores dentro del ecosistema DeFi.
TE PUEDE INTERESAR: El TVL de DeFi cae 14% tras el exploit de KelpDAO mientras el mercado reduce exposición al riesgo
Qué ocurrió en el exploit de StakeDAO
Según las primeras investigaciones compartidas por la firma de seguridad blockchain Blockaid, el atacante obtuvo acceso a la clave privada del deployer de StakeDAO y utilizó ese control para alterar la configuración autorizada del contrato vsdCRV en Arbitrum.
La vulnerabilidad permitió reemplazar una dirección legítima de confianza por una controlada por el atacante. A partir de allí, el hacker emitió instrucciones falsas de minting capaces de crear tokens sin ningún tipo de respaldo real.
El resultado fue la acuñación de exactamente 5.446.744.073.709 tokens vsdCRV en Arbitrum, una cifra masiva que rompió de inmediato el equilibrio económico del activo y encendió alertas en protocolos relacionados.
StakeDAO pidió a los usuarios detener inmediatamente cualquier interacción con vsdCRV mientras investigaba el incidente. Hasta el momento, el protocolo no ha revelado el valor total potencialmente comprometido ni un cronograma definitivo para restaurar la operatividad normal.
Cómo el atacante convirtió tokens falsos en ETH real
Tras generar los tokens fraudulentos, el explotador intercambió una parte de ellos por 43,78 ETH, equivalentes a cerca de 91.170 dólares al momento del ataque, según datos reportados por PeckShield.
Posteriormente, los fondos fueron enviados hacia una dirección en Ethereum identificada públicamente como 0xeF3C…aa25.
Aunque el monto robado fue relativamente menor comparado con otros exploits recientes del sector, la gravedad técnica del incidente radica en el mecanismo utilizado: el atacante logró falsificar mensajes cross-chain legítimos, una capacidad que podría haber generado consecuencias mucho mayores si el exploit no hubiese sido detectado rápidamente.
El problema detrás de LayerZero y los tokens OFT
El ataque a StakeDAO sigue un patrón que se ha vuelto cada vez más frecuente dentro de las finanzas descentralizadas en 2026: la manipulación de configuraciones de confianza en sistemas cross-chain basados en LayerZero.
El estándar OFT de LayerZero funciona permitiendo mover tokens entre blockchains mediante un sistema donde los activos son quemados en una red y acuñados nuevamente en otra. Para validar esas operaciones, el protocolo depende de configuraciones llamadas “peer configurations”, que definen qué contratos y direcciones son considerados legítimos en cada cadena.
Cuando una clave privada con permisos administrativos es comprometida, un atacante puede modificar silenciosamente esas configuraciones y autorizar emisiones ilimitadas de tokens falsos.
En el caso de StakeDAO, Blockaid indicó que el origen del problema habría sido precisamente el robo de una clave privada crítica, y no un fallo directo del verificador de LayerZero. Sin embargo, el resultado operativo fue prácticamente el mismo: un mensaje cross-chain falsificado que autorizó una emisión sin respaldo.
Un patrón que ya había aparecido en otros exploits DeFi
El exploit recuerda inmediatamente al incidente sufrido por Kelp DAO en abril, cuando una debilidad relacionada con la infraestructura LayerZero permitió el drenaje de aproximadamente 290 millones de dólares en rsETH.
En aquella ocasión, LayerZero reconoció posteriormente un error en su configuración de verificación. Aunque el ataque a StakeDAO tiene un origen distinto, ambos incidentes comparten una característica crítica: la confianza excesiva en configuraciones administrativas capaces de autorizar minting cross-chain.
La repetición de este tipo de ataques está elevando las preocupaciones sobre la seguridad estructural de múltiples protocolos DeFi que dependen de arquitecturas omnichain para expandir liquidez entre redes.
TE PUEDE INTERESAR: Hacker de Kelp DAO ya lavó $80 millones en ETH a través de THORChain
Curve Finance emite advertencias por riesgo de liquidaciones
Las consecuencias del exploit no se limitaron únicamente a StakeDAO.
Curve Finance emitió una advertencia urgente dirigida a usuarios con depósitos o préstamos en el mercado asdCRV LlamaLend de Arbitrum, recomendando cerrar posiciones inmediatamente.
Aunque Curve aclaró que el mercado continuaba operativo, el protocolo advirtió que la manipulación de vsdCRV podía afectar la estabilidad del oráculo de precios y provocar liquidaciones inesperadas.
En sistemas DeFi basados en colateral, una alteración abrupta del precio de un activo puede generar cascadas automáticas de liquidación, especialmente en mercados apalancados o con baja liquidez.
La preocupación principal era que los tokens falsificados distorsionaran las referencias de precios utilizadas por los contratos inteligentes, exponiendo a usuarios legítimos a pérdidas involuntarias.
Beefy Finance pausa una bóveda afectada
El impacto también alcanzó a Beefy Finance, uno de los optimizadores de rendimiento multichain más utilizados en DeFi.
La plataforma confirmó que su bóveda Convex CRV/csdCRV/asdCRV en Arbitrum se vio afectada por el incidente y anunció la suspensión inmediata del vault comprometido mientras coordinaba acciones con StakeDAO, Curve y Convex.
La pausa preventiva busca evitar mayores pérdidas mientras los protocolos analizan posibles planes de recuperación y evalúan el alcance total del daño.
Este tipo de reacciones coordinadas se ha vuelto habitual en el ecosistema DeFi moderno, donde múltiples aplicaciones suelen compartir liquidez, oráculos y mecanismos de colateralización. Cuando un protocolo falla, el riesgo puede propagarse rápidamente hacia plataformas conectadas.
El mercado reacciona: caída de SDT y aumento del volumen
El token de gobernanza SDT de StakeDAO registró una caída aproximada del 6,6% en las 24 horas posteriores al exploit, mientras el volumen de negociación aumentó más de un 400%, reflejando una reacción inmediata de los inversores y operadores del mercado.
Los incrementos bruscos de volumen en este tipo de eventos suelen interpretarse como señales de pánico, especulación o reposicionamiento rápido de traders frente a posibles escenarios de mayor deterioro.
Aunque la caída de SDT fue moderada comparada con otros hacks históricos de DeFi, el incidente vuelve a evidenciar cómo los problemas de seguridad continúan afectando directamente la confianza de los usuarios en protocolos de rendimiento descentralizado.
La infraestructura cross-chain se convierte en uno de los mayores riesgos de DeFi
El exploit de StakeDAO llega en un momento especialmente delicado para el sector.
Abril ya había sido catalogado como el peor mes registrado para exploits DeFi, con aproximadamente 635 millones de dólares robados en 28 incidentes distintos. La mayoría de esos ataques compartieron un elemento común: vulnerabilidades en puentes, validaciones cross-chain o permisos administrativos críticos.
La creciente complejidad técnica de los protocolos omnichain está ampliando la superficie de ataque disponible para hackers especializados, especialmente en sistemas donde una sola clave privada puede modificar configuraciones fundamentales.
A medida que DeFi evoluciona hacia ecosistemas más interconectados, los riesgos asociados a infraestructura cross-chain se están convirtiendo en una preocupación sistémica para toda la industria.
TE PUEDE INTERESAR: THORChain sufre un nuevo hack de más de $10 millones mientras RUNE se desploma 11%
Qué puede pasar ahora con StakeDAO
Por ahora, la investigación continúa abierta y StakeDAO no ha confirmado públicamente si la clave comprometida ya fue rotada ni cuándo serán redeployados los contratos afectados.
Blockaid publicó varias transacciones vinculadas al ataque, incluyendo el despliegue del peer malicioso, la falsificación del mensaje cross-chain y las operaciones de minting en Arbitrum, lo que permite seguir el rastro on-chain del exploit de forma pública.
El siguiente paso crítico para StakeDAO será restaurar la confianza de los usuarios y evitar que el incidente genere daños permanentes sobre su ecosistema de liquidez.
Mientras tanto, el caso probablemente intensificará el debate sobre la necesidad de fortalecer los mecanismos de validación cross-chain, reducir dependencias de claves administrativas únicas y endurecer los estándares de seguridad utilizados por protocolos DeFi que operan entre múltiples blockchains.
En un mercado donde la interoperabilidad se ha convertido en uno de los pilares del crecimiento de las finanzas descentralizadas, el exploit de StakeDAO deja una advertencia clara: la expansión multichain también está multiplicando los puntos críticos de fallo para toda la industria cripto.
