Hyökkääjä hyödynsi vaarantunutta deployer-avainta StakeDAO:ssa mintatakseen 5,4 biljoonaa vsdCRV-tokenia Arbitrum-verkossa – mutta ohut likviditeetti tarkoitti, että saalis oli arvoltaan vain 91 000 dollaria. Tapaus, joka tapahtui äskettäin, on viimeisin sarjassa DeFi-hakkerointeja, joissa varastetut yksityisavaimet antoivat hyökkääjille lähes täydellisen hallinnan.
Hyökkäys: yksi avain, massiivinen minttaus
Hyökkääjä sai käyttöönsä deployer-avaimen – yksityisavaimen, jolla on korotetut oikeudet StakeDAOn älysopimusjärjestelmässä. Käyttämällä tätä avainta he valtuuttivat 5,4 biljoonan vsdCRV-tokenin minttauksen, joka on stablecoin-tyyppinen token sidottuna Curve DAOn CRV:hen. Paperilla mintattu määrä oli tähtitieteellinen. Käytännössä tuon tokenvirran lunastaminen osoittautui lähes mahdottomaksi.
StakeDAO on Curve Financeen rakennettu tuotonoptimointiprotokolla. vsdCRV-token edustaa panostettua positiota Curven likviditeettipoolissa. Minttaamalla biljoonia tokeneita hyökkääjä loi käytännössä vuoren tokeneita, joilla ei ollut luonnollisia ostajia.
Miksi hyökkääjä jäi taskurahalla
vsdCRV:n likviditeetti Arbitrumissa on ohut. Kun hyökkääjä yritti vaihtaa edes murto-osan mintatuista tokeneista likvidimpiin varoihin, kuten USDC:hen tai ETH:iin, hinta romahti. Kokonaisrealisoitu voitto – summa, jonka hyökkääjä todella onnistui irrottamaan – oli vain 91 000 dollaria ennen kuin markkina hinnoitteli uudelleen tai hyökkäys havaittiin.
Tämä pieni saalis suhteessa minttauksen kokoon korostaa haavoittuvuutta, joka on kaksiteräinen miekka: alhainen likviditeetti suojaa protokollia massiivisilta välittömiltä tyhjennyksiltä, mutta se tarkoittaa myös sitä, että lailliset käyttäjät kohtaavat liukumaa ja rajoitettuja poistumisvaihtoehtoja.
StakeDAO ei ole julkisesti paljastanut, onko varastettu 91 000 dollaria saatu takaisin tai aikooko protokolla korvata kärsineitä käyttäjiä. Vaarantunut deployer-avain on peruutettu, yhtiö sanoi lyhyessä lausunnossaan, mutta yksityiskohdat siitä, miten avain alun perin vaarantui, ovat edelleen epäselviä.
Vaarantuneet avaimet: toistuva DeFi-päänsärky
Tämä ei ole yksittäistapaus. Koko DeFi-ekosysteemissä hyökkääjät ovat toistuvasti hyödyntäneet vaarantuneita yksityisavaimia – deployer-avaimista admin-multisigeihin – tyhjentääkseen protokollia. Pelkästään vuonna 2024 useat suuret hakkeroinnit noudattivat samaa kaavaa: yksi vuotanut avain antoi hyökkääjälle vallan mintata, nostaa tai pysäyttää sopimuksia.
Ongelmana on rakenteellisuus. DeFi-protokollat luottavat usein kouralliseen etuoikeutettuja avaimia päivitysten ja hätätoimintojen hallintaan. Jos nämä avaimet ovat hot-lompakoissa, kehittäjien kannettavilla tietokoneilla tai pilvi-infrastruktuurissa ilman vankkaa tietoturvaa, niistä tulee yksittäinen vikaantumispiste.
Tietoturvayritykset ovat pitkään suositelleet laitteistopohjaista allekirjoitusta, monen osapuolen laskentaa ja aikarajoja riskin vähentämiseksi. Mutta monet protokollat toimivat edelleen avaimilla, jotka ovat yhden tietokalasteluviestin tai yhden vaarantuneen laitteen päässä varastamisesta.
StakeDAO-hyökkääjän rajallinen voitto saattaa tarjota kylmää lohtua. Laajempi kysymys – miten tehdä etuoikeutettujen avainten hallinnasta luodinkestävää – jää vastaamatta. Ennen kuin teollisuus löytää skaalautuvan ratkaisun, seuraava vaarantunut deployer-avain voi tuottaa paljon suuremman potin.
