Útočník zneužil kompromitovaný deployer klíč na StakeDAO k vyražení 5,4 bilionu vsdCRV tokenů na síti Arbitrum – ale nízká likvidita znamenala, že kořist měla hodnotu pouhých 91 000 dolarů. Incident, který se nedávno odehrál, je nejnovějším z řady DeFi hacků, kde odcizené soukromé klíče poskytly útočníkům téměř úplnou kontrolu.
Exploit: jediný klíč, masivní emise
Útočník získal přístup k deployer klíči – soukromému klíči s rozšířenými oprávněními v rámci systému smart kontraktů StakeDAO. Pomocí tohoto klíče autorizoval ražbu 5,4 bilionu vsdCRV tokenů, stablecoinového tokenu navázaného na CRV od Curve DAO. Na papíře bylo vyražené množství astronomické. V praxi se ukázalo, že vybrat takový příval tokenů je téměř nemožné.
StakeDAO je protokol pro optimalizaci výnosů postavený na Curve Finance. Token vsdCRV představuje stakovanou pozici v likviditních poolech Curve. Vyražením bilionů tokenů útočník efektivně vytvořil horu tokenů bez přirozených kupců.
Proč útočník odešel s drobnými
Likvidita vsdCRV na Arbitru je mělká. Když se útočník pokusil směnit byť jen zlomek vyražených tokenů na likvidnější aktiva jako USDC nebo ETH, cena se propadla. Celkový realizovaný zisk – částka, kterou se útočníkovi skutečně podařilo získat – činila pouze 91 000 dolarů, než došlo k přecenění trhu nebo odhalení exploiu.
Tento malý výnos v porovnání s velikostí emise poukazuje na zranitelnost, která funguje oboustranně: nízká likvidita chrání protokoly před masivními okamžitými výběry, ale zároveň omezuje legitimní uživatele slippagem a omezenými možnostmi výstupu.
StakeDAO veřejně neoznámilo, zda bylo odcizených 91 000 dolarů získáno zpět, nebo zda protokol plánuje kompenzovat postižené uživatele. Kompromitovaný deployer klíč byl zneplatněn, uvedla společnost v krátkém prohlášení, ale podrobnosti o tom, jak byl klíč původně kompromitován, zůstávají nejasné.
Kompromitované klíče: opakující se problém DeFi
Nejedná se o ojedinělý případ. V celém ekosystému DeFi útočníci opakovaně zneužívali kompromitované soukromé klíče – od deployer klíčů po admin multisigy – k vyčerpávání protokolů. Jen v roce 2024 došlo k několika velkým hackům, které následovaly stejný vzorec: jeden uniklý klíč dal útočníkovi možnost razit, vybírat nebo pozastavovat kontrakty.
Problém je strukturální. DeFi protokoly často spoléhají na hrstku privilegovaných klíčů pro správu upgrade a nouzových funkcí. Pokud tyto klíče žijí na hot peněženkách, vývojářských noteboocích nebo cloudové infrastruktuře bez robustního zabezpečení, stávají se jediným bodem selhání.
Bezpečnostní firmy již dlouho doporučují hardwarové podepisování, vícestranné výpočty a časové zámky ke snížení rizika. Mnoho protokolů však stále pracuje s klíči, které jsou jen jeden phishingový email nebo jedno kompromitované zařízení od krádeže.
Omezený zisk útočníka na StakeDAO může poskytnout chladnou útěchu. Širší otázka – jak udělat správu privilegovaných klíčů neprůstřelnou – zůstává nezodpovězena. Dokud průmysl nenajde škálovatelné řešení, další kompromitovaný deployer klíč by mohl přinést mnohem větší výplatu.
