مهاجم StakeDAO 5.4 تریلیون توکن ضرب کرد، فقط 91,000 دلار به دست آورد

یک مهاجم با استفاده از کلید مستقرساز (deployer key) در معرض خطر در StakeDAO، 5.4 تریلیون توکن vsdCRV در شبکه آربیتروم ضرب کرد - اما نقدینگی کم باعث شد که دستاورد تنها 91,000 دلار ارزش داشته باشد. این حادثه که اخیراً رخ داده، آخرین مورد از یک سری هک‌های دیفای است که در آن سرقت کلیدهای خصوصی به مهاجمان کنترل تقریباً کاملی داده است.

بهره‌برداری: یک کلید، یک ضرب عظیم

مهاجم به یک کلید مستقرساز دست یافت - یک کلید خصوصی با مجوزهای بالا در سیستم قرارداد هوشمند StakeDAO. با استفاده از آن کلید، آنها ضرب 5.4 تریلیون توکن vsdCRV را مجاز کردند، یک توکن شبیه استیبل کوین که به CRV پروتکل Curve DAO متصل است. روی کاغذ، مقدار ضرب‌شده نجومی بود. در عمل، نقد کردن این سیل توکن‌ها تقریباً غیرممکن بود.

StakeDAO یک پروتکل بهینه‌سازی بازده است که بر روی Curve Finance ساخته شده. توکن vsdCRV نشان‌دهنده یک موقعیت شرطبندی شده در استخرهای نقدینگی Curve است. با ضرب تریلیون‌ها از آن، مهاجم عملاً کوهی از توکن‌ها را بدون خریداران طبیعی ایجاد کرد.

چرا مهاجم با پول ناچیزی رفت

نقدینگی برای vsdCRV در آربیتروم کم عمق است. وقتی مهاجم تلاش کرد حتی کسری از توکن‌های ضرب‌شده را به دارایی‌های نقدشونده‌تر مانند USDC یا ETH مبادله کند، قیمت سقوط کرد. کل سود تحقق‌یافته - مقداری که مهاجم واقعاً توانست خارج کند - قبل از اینکه بازار دوباره قیمت‌گذاری کند یا بهره‌برداری شناسایی شود، تنها 91,000 دلار بود.

این دستاورد کوچک نسبت به اندازه ضرب، آسیب‌پذیری دوطرفه را برجسته می‌کند: نقدینگی کم از پروتکل‌ها در برابر تخلیه‌های عظیم آنی محافظت می‌کند، اما همچنین به این معناست که کاربران قانونی با لغزش قیمت و گزینه‌های خروج محدود مواجه می‌شوند.

StakeDAO به طور عمومی اعلام نکرده که آیا 91,000 دلار سرقت‌شده بازیابی شده است یا اینکه پروتکل قصد جبران خسارت کاربران آسیب‌دیده را دارد. کلید مستقرساز در معرض خطر باطل شده است، این شرکت در بیانیه‌ای کوتاه گفت، اما جزئیات در مورد چگونگی به خطر افتادن اولیه کلید همچنان نامشخص است.

کلیدهای در معرض خطر: یک سردرد مکرر دیفای

این یک مورد مجزا نیست. در سراسر اکوسیستم دیفای، مهاجمان بارها از کلیدهای خصوصی در معرض خطر - از کلیدهای مستقرساز گرفته تا مالتی‌سیگهای مدیریتی - برای تخلیه پروتکل‌ها بهره‌برداری کرده‌اند. تنها در سال 2024، چندین هک بزرگ از همان الگو پیروی کردند: یک کلید نشت‌شده به مهاجم این قدرت را داد تا قراردادها را ضرب، برداشت یا متوقف کند.

مشکل ساختاری است. پروتکل‌های دیفای اغلب به تعداد انگشت‌شماری کلیدهای ممتاز برای مدیریت به‌روزرسانی‌ها و عملکردهای اضطراری متکی هستند. اگر آن کلیدها در کیف‌پول‌های داغ، لپ‌تاپ‌های توسعه‌دهندگان یا زیرساخت ابری بدون امنیت قوی قرار داشته باشند، به یک نقطه شکست واحد تبدیل می‌شوند.

شرکت‌های امنیتی مدت‌هاست که امضای مبتنی بر سخت‌افزار، محاسبات چندجانبه و قفل‌های زمانی را برای کاهش خطر توصیه کرده‌اند. اما بسیاری از پروتکل‌ها همچنان با کلیدهایی کار می‌کنند که یک ایمیل فیشینگ یا یک دستگاه در معرض خطر با آنها فاصله دارند تا دزدیده شوند.

سود محدود مهاجم StakeDAO ممکن است تسلی کمی باشد. سؤال گسترده‌تر - چگونه مدیریت کلیدهای ممتاز را غیرقابل نفوذ کنیم - همچنان بی‌پاسخ مانده است. تا زمانی که صنعت راه‌حل مقیاس‌پذیری پیدا کند، کلید مستقرساز در معرض خطر بعدی می‌تواند دستاورد بسیار بزرگتری به همراه داشته باشد.