Un atacante explotó una clave de implementación comprometida en StakeDAO para acuñar 5,4 billones de tokens vsdCRV en la red Arbitrum, pero la escasa liquidez hizo que el botín ascendiera a solo 91.000 dólares. El incidente, ocurrido recientemente, es el último de una serie de hackeos en DeFi donde claves privadas robadas otorgaron a los atacantes un control casi total.
El exploit: una sola clave, una acuñación masiva
El atacante obtuvo acceso a una clave de implementación — una clave privada con privilegios elevados dentro del sistema de contratos inteligentes de StakeDAO. Usando esa clave, autorizó la acuñación de 5,4 billones de tokens vsdCRV, un token similar a una stablecoin vinculado al CRV de Curve DAO. Sobre el papel, la cantidad acuñada era astronómica. En la práctica, convertir esa avalancha de tokens en efectivo resultó casi imposible.
StakeDAO es un protocolo de optimización de rendimientos basado en Curve Finance. El token vsdCRV representa una posición apostada en los grupos de liquidez de Curve. Al acuñar billones de tokens, el atacante creó efectivamente una montaña de tokens sin compradores naturales.
Por qué el atacante se fue con calderilla
La liquidez de vsdCRV en Arbitrum es escasa. Cuando el atacante intentó intercambiar incluso una fracción de los tokens acuñados por activos más líquidos como USDC o ETH, el precio se desplomó. La ganancia total realizada — la cantidad que el atacante logró extraer efectivamente — ascendió a solo 91.000 dólares antes de que el mercado se reajustara o se detectara el exploit.
Esa pequeña ganancia en relación con el tamaño de la acuñación resalta una vulnerabilidad que tiene dos caras: la baja liquidez protege a los protocolos de drenajes masivos instantáneos, pero también significa que los usuarios legítimos enfrentan deslizamiento y opciones de salida limitadas.
StakeDAO no ha revelado públicamente si los 91.000 dólares robados fueron recuperados o si el protocolo planea compensar a los usuarios afectados. La clave de implementación comprometida ha sido revocada, según un breve comunicado de la empresa, pero los detalles sobre cómo se comprometió inicialmente la clave siguen sin estar claros.
Claves comprometidas: un dolor de cabeza recurrente en DeFi
No es un caso aislado. En todo el ecosistema DeFi, los atacantes han explotado repetidamente claves privadas comprometidas — desde claves de implementación hasta multisigs de administración — para drenar protocolos. Solo en 2024, varios hackeos importantes siguieron el mismo patrón: una sola clave filtrada otorgó a un atacante el poder de acuñar, retirar o pausar contratos.
El problema es estructural. Los protocolos DeFi a menudo dependen de un puñado de claves privilegiadas para gestionar actualizaciones y funciones de emergencia. Si esas claves residen en billeteras activas, portátiles de desarrolladores o infraestructura en la nube sin una seguridad robusta, se convierten en un punto único de fallo.
Las empresas de seguridad han recomendado durante mucho tiempo la firma basada en hardware, la computación multiparte y los bloqueos de tiempo para reducir el riesgo. Sin embargo, muchos protocolos aún operan con claves que están a un correo de phishing o a un dispositivo comprometido de ser robadas.
La limitada ganancia del atacante de StakeDAO puede ofrecer poco consuelo. La cuestión más amplia — cómo hacer que la gestión de claves privilegiadas sea a prueba de balas — sigue sin respuesta. Hasta que la industria encuentre una solución escalable, la próxima clave de implementación comprometida podría generar una ganancia mucho mayor.
