Ένας επιτιθέμενος εκμεταλλεύτηκε ένα παραβιασμένο κλειδί ανάπτυξης (deployer key) στο StakeDAO για να δημιουργήσει 5,4 τρισεκατομμύρια tokens vsdCRV στο δίκτυο Arbitrum — αλλά η χαμηλή ρευστότητα σήμαινε ότι η λεία άξιζε μόνο 91.000 δολάρια. Το περιστατικό, που συνέβη πρόσφατα, είναι το τελευταίο σε μια σειρά επιθέσεων σε DeFi όπου κλεμμένα ιδιωτικά κλειδιά έδωσαν στους επιτιθέμενους σχεδόν απόλυτο έλεγχο.
Η εκμετάλλευση: ένα μόνο κλειδί, μια τεράστια δημιουργία tokens
Ο επιτιθέμενος απέκτησε πρόσβαση σε ένα κλειδί ανάπτυξης (deployer key) — ένα ιδιωτικό κλειδί με αυξημένα προνόμια εντός του συστήματος έξυπνων συμβολαίων του StakeDAO. Χρησιμοποιώντας αυτό το κλειδί, εξουσιοδότησε τη δημιουργία 5,4 τρισεκατομμυρίων tokens vsdCRV, ενός token που μοιάζει με stablecoin και είναι συνδεδεμένο με το CRV του Curve DAO. Στα χαρτιά, το ποσό που δημιουργήθηκε ήταν αστρονομικό. Στην πράξη, η εξαργύρωση αυτού του χείμαρρου tokens αποδείχθηκε σχεδόν αδύνατη.
Το StakeDAO είναι ένα πρωτόκολλο βελτιστοποίησης αποδόσεων που βασίζεται στο Curve Finance. Το token vsdCRV αντιπροσωπεύει μια δεσμευμένη θέση (staked position) στις δεξαμενές ρευστότητας του Curve. Δημιουργώντας τρισεκατομμύρια από αυτό, ο επιτιθέμενος ουσιαστικά δημιούργησε ένα βουνό tokens χωρίς φυσικούς αγοραστές.
Γιατί ο επιτιθέμενος έφυγε με ψίχουλα
Η ρευστότητα για το vsdCRV στο Arbitrum είναι ρηχή. Όταν ο επιτιθέμενος προσπάθησε να ανταλλάξει έστω και ένα κλάσμα των δημιουργημένων tokens σε περισσότερο ρευστά περιουσιακά στοιχεία όπως USDC ή ETH, η τιμή κατέρρευσε. Το συνολικό πραγματοποιηθέν κέρδος — το ποσό που κατάφερε πραγματικά να αποσπάσει ο επιτιθέμενος — ανήλθε σε μόλις 91.000 δολάρια πριν η αγορά αναπροσαρμοστεί ή η εκμετάλλευση εντοπιστεί.
Αυτή η μικροσκοπική λεία σε σχέση με το μέγεθος της δημιουργίας tokens αναδεικνύει μια ευπάθεια που λειτουργεί και προς τις δύο κατευθύνσεις: η χαμηλή ρευστότητα προστατεύει τα πρωτόκολλα από μαζικές στιγμιαίες εκροές, αλλά σημαίνει επίσης ότι οι νόμιμοι χρήστες αντιμετωπίζουν ολίσθηση (slippage) και περιορισμένες επιλογές εξόδου.
Το StakeDAO δεν έχει αποκαλύψει δημόσια εάν τα κλεμμένα 91.000 δολάρια ανακτήθηκαν ή εάν το πρωτόκολλο σχεδιάζει να αποζημιώσει τους επηρεαζόμενους χρήστες. Το παραβιασμένο κλειδί ανάπτυξης (deployer key) έχει ανακληθεί, ανέφερε η εταιρεία σε μια σύντομη δήλωση, αλλά οι λεπτομέρειες για το πώς παραβιάστηκε αρχικά το κλειδί παραμένουν ασαφείς.
Παραβιασμένα κλειδιά: ένα επαναλαμβανόμενο πονοκέφαλο για το DeFi
Αυτό δεν είναι μεμονωμένο περιστατικό. Σε ολόκληρο το οικοσύστημα DeFi, οι επιτιθέμενοι έχουν επανειλημμένα εκμεταλλευτεί παραβιασμένα ιδιωτικά κλειδιά — από κλειδιά ανάπτυξης (deployer keys) έως multisigs διαχειριστών — για να αποστραγγίσουν πρωτόκολλα. Μόνο το 2024, αρκετές μεγάλες επιθέσεις ακολούθησαν το ίδιο μοτίβο: ένα μόνο διαρρεύσαν κλειδί έδωσε σε έναν επιτιθέμενο τη δύναμη να δημιουργεί, να αποσύρει ή να διακόπτει συμβόλαια.
Το πρόβλημα είναι δομικό. Τα πρωτόκολλα DeFi συχνά βασίζονται σε μια χούφτα προνομιούχων κλειδιών για τη διαχείριση αναβαθμίσεων και λειτουργιών έκτακτης ανάγκης. Εάν αυτά τα κλειδιά βρίσκονται σε hot wallets, φορητούς υπολογιστές προγραμματιστών ή υποδομή cloud χωρίς ισχυρή ασφάλεια, γίνονται ένα μοναδικό σημείο αποτυχίας.
Οι εταιρείες ασφαλείας έχουν από καιρό προτείνει υπογραφή βάσει υλικού (hardware-based signing), υπολογισμό πολλαπλών μερών (multi-party computation) και χρονικές κλειδαριές (timelocks) για τη μείωση του κινδύνου. Αλλά πολλά πρωτόκολλα εξακολουθούν να λειτουργούν με κλειδιά που απέχουν ένα phishing email ή μια παραβιασμένη συσκευή από το να κλαπούν.
Το περιορισμένο κέρδος του επιτιθέμενου του StakeDAO μπορεί να προσφέρει πενιχρή παρηγοριά. Το ευρύτερο ερώτημα — πώς να γίνει η διαχείριση προνομιακών κλειδιών αλεξίσφαιρη — παραμένει αναπάντητο. Μέχρι η βιομηχανία να βρει μια επεκτάσιμη λύση, το επόμενο παραβιασμένο κλειδί ανάπτυξης θα μπορούσε να αποφέρει πολύ μεγαλύτερο όφελος.
