Un attaquant a exploité une clé de déploiement compromise sur StakeDAO pour frapper 5,4 billions de jetons vsdCRV sur le réseau Arbitrum — mais la faible liquidité signifiait que le butin ne valait que 91 000 $. Cet incident, survenu récemment, est le dernier d'une série de piratages DeFi où des clés privées volées ont donné aux attaquants un contrôle quasi total.
L'exploit : une seule clé, une frappe massive
L'attaquant a obtenu l'accès à une clé de déploiement — une clé privée disposant de privilèges élevés dans le système de contrats intelligents de StakeDAO. En utilisant cette clé, ils ont autorisé la frappe de 5,4 billions de jetons vsdCRV, un jeton de type stablecoin ancré au CRV de Curve DAO. Sur le papier, le montant frappé était astronomique. En pratique, convertir ce torrent de jetons en liquidités s'est avéré presque impossible.
StakeDAO est un protocole d'optimisation de rendement construit sur Curve Finance. Le jeton vsdCRV représente une position mise en jeu dans les pools de liquidité de Curve. En en frappant des billions, l'attaquant a effectivement créé une montagne de jetons sans acheteurs naturels.
Pourquoi l'attaquant est reparti avec une somme dérisoire
La liquidité du vsdCRV sur Arbitrum est peu profonde. Lorsque l'attaquant a tenté d'échanger ne serait-ce qu'une fraction des jetons frappés contre des actifs plus liquides comme l'USDC ou l'ETH, le prix s'est effondré. Le gain total réalisé — le montant que l'attaquant a effectivement réussi à extraire — n'a atteint que 91 000 $ avant que le marché ne se réajuste ou que l'exploit ne soit détecté.
Ce maigre butin par rapport à l'ampleur de la frappe met en lumière une vulnérabilité qui fonctionne dans les deux sens : une faible liquidité protège les protocoles contre des vidages massifs instantanés, mais elle signifie aussi que les utilisateurs légitimes sont confrontés à du slippage et à des options de sortie limitées.
StakeDAO n'a pas divulgué publiquement si les 91 000 $ volés ont été récupérés ou si le protocole prévoit de dédommager les utilisateurs concernés. La clé de déploiement compromise a été révoquée, a déclaré l'entreprise dans un bref communiqué, mais les détails sur la façon dont la clé a été initialement compromise restent flous.
Clés compromises : un casse-tête récurrent pour la DeFi
Ce n'est pas un cas isolé. Dans tout l'écosystème DeFi, les attaquants ont exploité à plusieurs reprises des clés privées compromises — des clés de déploiement aux multisigs d'administration — pour drainer des protocoles. Rien qu'en 2024, plusieurs piratages majeurs ont suivi le même schéma : une seule clé divulguée a donné à un attaquant le pouvoir de frapper, de retirer ou de suspendre des contrats.
Le problème est structurel. Les protocoles DeFi s'appuient souvent sur une poignée de clés privilégiées pour gérer les mises à niveau et les fonctions d'urgence. Si ces clés résident sur des portefeuilles chauds, des ordinateurs portables de développeurs ou une infrastructure cloud sans sécurité robuste, elles deviennent un point de défaillance unique.
Les entreprises de sécurité recommandent depuis longtemps la signature matérielle, le calcul multipartite et les verrous temporels pour réduire le risque. Mais de nombreux protocoles fonctionnent encore avec des clés qui ne sont qu'à un email de phishing ou un appareil compromis d'être volées.
Le profit limité de l'attaquant de StakeDAO peut n'offrir qu'une maigre consolation. La question plus large — comment rendre la gestion des clés privilégiées infaillible — reste sans réponse. Tant que l'industrie ne trouvera pas de solution évolutive, la prochaine clé de déploiement compromise pourrait rapporter un butin bien plus important.
