En angriber udnyttede en kompromitteret deployer-nøgle på StakeDAO til at præge 5,4 billioner vsdCRV-tokens på Arbitrum-netværket – men tynd likviditet betød, at udbyttet kun var værd $91.000. Hændelsen, der fandt sted for nylig, er den seneste i en række af DeFi-hacks, hvor stjålne private keys gav angribere næsten total kontrol.
Udnyttelsen: en enkelt nøgle, en massiv prægning
Angriberen fik adgang til en deployer-nøgle – en privat nøgle med forhøjede rettigheder inde i StakeDAOs smart contract-system. Ved hjælp af denne nøgle godkendte de prægningen af 5,4 billioner vsdCRV-tokens, et stablecoin-lignende token knyttet til Curve DAOs CRV. På papiret var det prægede beløb astronomisk. I praksis viste det sig næsten umuligt at omsætte den strøm af tokens til kontanter.
StakeDAO er en yield-optimeringsprotokol bygget på Curve Finance. vsdCRV-tokenet repræsenterer en staket position i Curves likviditetspools. Ved at præge billioner af det skabte angriberen effektivt et bjerg af tokens uden naturlige købere.
Hvorfor angriberen gik derfra med småpenge
Likviditeten for vsdCRV på Arbitrum er tynd. Da angriberen forsøgte at bytte selv en brøkdel af de prægede tokens til mere likvide aktiver som USDC eller ETH, styrtdykkede prisen. Det samlede realiserede udbytte – det beløb angriberen faktisk formåede at hente ud – lød på kun $91.000, før markedet genprissatte eller udnyttelsen blev opdaget.
Det lille udbytte i forhold til størrelsen af prægningen fremhæver en sårbarhed, der skærer begge veje: lav likviditet beskytter protokoller mod massive øjeblikkelige dræn, men det betyder også, at legitime brugere står over for slippage og begrænsede exit-muligheder.
StakeDAO har ikke offentligt oplyst, om de stjålne $91.000 blev genvundet, eller om protokollen planlægger at kompensere berørte brugere. Den kompromitterede deployer-nøgle er blevet tilbagekaldt, oplyste virksomheden i en kort erklæring, men detaljer om, hvordan nøglen oprindeligt blev kompromitteret, er stadig uklare.
Kompromitterede nøgler: en tilbagevendende DeFi-hovedpine
Dette er ikke et isoleret tilfælde. På tværs af DeFi-økosystemet har angribere gentagne gange udnyttet kompromitterede private keys – fra deployer-nøgler til admin multisigs – til at dræne protokoller. Alene i 2024 fulgte flere store hacks det samme mønster: en enkelt lækket nøgle gav en angriber magten til at præge, hæve eller pause kontrakter.
Problemet er strukturelt. DeFi-protokoller er ofte afhængige af en håndfuld privilegerede nøgler til at håndtere opgraderinger og nødfunktioner. Hvis disse nøgler opbevares på hot wallets, udviklerbærbare computere eller cloud-infrastruktur uden robust sikkerhed, bliver de et enkelt fejlpunkt.
Sikkerhedsfirmaer har længe anbefalet hardwarebaseret underskrivning, multi-party computation og timelocks for at reducere risikoen. Men mange protokoller fungerer stadig med nøgler, der er ét phishing-e-mail eller én kompromitteret enhed væk fra at blive stjålet.
StakeDAO-angriberens begrænsede fortjeneste kan være en kold trøst. Det større spørgsmål – hvordan man gør privilegeret nøglehåndtering skudsikker – forbliver ubesvaret. Indtil industrien finder en skalerbar løsning, kan den næste kompromitterede deployer-nøgle give et langt større udbytte.
