Ein Angreifer nutzte einen kompromittierten Deployer-Key, um auf dem Arbitrum-Netzwerk 5,4 Billionen vsdCRV-Token zu prägen – doch aufgrund der geringen Liquidität belief sich die Beute auf gerade einmal 91.000 Dollar. Der Vorfall, der sich kürzlich ereignete, ist der jüngste in einer Reihe von DeFi-Hacks, bei denen gestohlene private Schlüssel den Angreifern nahezu vollständige Kontrolle ermöglichten.
Der Exploit: Ein einzelner Schlüssel, eine massive Prägung
Der Angreifer erlangte Zugang zu einem Deployer-Key – einem privaten Schlüssel mit erweiterten Berechtigungen im Smart-Contract-System von StakeDAO. Mit diesem Schlüssel autorisierte er die Prägung von 5,4 Billionen vsdCRV-Token, einem stablecoin-ähnlichen Token, der an den CRV von Curve DAO gekoppelt ist. Auf dem Papier war die geprägte Menge astronomisch. In der Praxis erwies es sich als nahezu unmöglich, diese Flut von Token auszuzahlen.
StakeDAO ist ein auf Curve Finance basierendes Yield-Optimierungsprotokoll. Der vsdCRV-Token repräsentiert eine gestakte Position in den Liquiditätspools von Curve. Durch die Prägung von Billionen dieser Token schuf der Angreifer faktisch einen Berg von Token ohne natürliche Käufer.
Warum der Angreifer nur Kleingeld erbeutete
Die Liquidität für vsdCRV auf Arbitrum ist gering. Als der Angreifer versuchte, selbst einen Bruchteil der geprägten Token in liquidere Assets wie USDC oder ETH umzutauschen, fiel der Preis in den Keller. Der realisierte Gesamtgewinn – der Betrag, den der Angreifer tatsächlich erbeuten konnte – belief sich auf nur 91.000 Dollar, bevor sich der Markt wieder einpendelte oder der Exploit entdeckt wurde.
Diese geringe Ausbeute im Verhältnis zum Umfang der Prägung verdeutlicht eine Verwundbarkeit, die in beide Richtungen wirkt: Niedrige Liquidität schützt Protokolle vor massiven sofortigen Abflüssen, bedeutet aber auch, dass legitime Nutzer mit Slippage und begrenzten Ausstiegsmöglichkeiten konfrontiert sind.
StakeDAO hat nicht öffentlich bekannt gegeben, ob die gestohlenen 91.000 Dollar zurückgeholt wurden oder ob das Protokoll plant, betroffene Nutzer zu entschädigen. Der kompromittierte Deployer-Key wurde widerrufen, so das Unternehmen in einer kurzen Stellungnahme, doch Details darüber, wie der Key ursprünglich kompromittiert wurde, bleiben unklar.
Kompromittierte Schlüssel: ein wiederkehrendes DeFi-Problem
Dies ist kein Einzelfall. Im gesamten DeFi-Ökosystem haben Angreifer wiederholt kompromittierte private Schlüssel – von Deployer-Keys bis hin zu Admin-Multisigs – ausgenutzt, um Protokolle zu leeren. Allein im Jahr 2024 folgten mehrere große Hacks demselben Muster: Ein einziger durchgesickerter Schlüssel gab einem Angreifer die Macht, Token zu prägen, abzuheben oder Verträge zu pausieren.
Das Problem ist struktureller Natur. DeFi-Protokolle verlassen sich oft auf eine Handvoll privilegierter Schlüssel, um Upgrades und Notfallfunktionen zu verwalten. Wenn diese Schlüssel auf Hot Wallets, Entwickler-Laptops oder Cloud-Infrastrukturen ohne robuste Sicherheitsvorkehrungen liegen, werden sie zu einem einzigen Fehlerpunkt.
Sicherheitsfirmen empfehlen seit langem hardwarebasierte Signierung, Multi-Party-Computation und Timelocks, um das Risiko zu verringern. Doch viele Protokolle arbeiten immer noch mit Schlüsseln, die nur eine Phishing-E-Mail oder ein kompromittiertes Gerät davon entfernt sind, gestohlen zu werden.
Der begrenzte Gewinn des StakeDAO-Angreifers mag ein schwacher Trost sein. Die grundsätzliche Frage – wie man die Verwaltung privilegierter Schlüssel absolut sicher macht – bleibt unbeantwortet. Bis die Branche eine skalierbare Lösung findet, könnte der nächste kompromittierte Deployer-Key eine weitaus größere Beute einbringen.
