תוקף ניצל מפתח פריסה שנפרץ ב-StakeDAO כדי להטביע 5.4 טריליון טוקני vsdCRV ברשת Arbitrum — אך נזילות דלילה גרמה לכך שההון שנגבה היה שווה רק 91,000 דולר. התקרית, שהתרחשה לאחרונה, היא האחרונה בשורה של פריצות DeFi שבהן מפתחות פרטיים גנובים העניקו לתוקפים שליטה כמעט מוחלטת.
הניצול: מפתח אחד, הטבעה ענקית
התוקף השיג גישה למפתח פריסה — מפתח פרטי בעל הרשאות מוגברות במערכת החוזים החכמים של StakeDAO. באמצעות אותו מפתח, הוא אישר את הטבעתם של 5.4 טריליון טוקני vsdCRV, טוקן דמוי-סטבלקוין המוצמד ל-CRV של Curve DAO. על הנייר, הסכום שהוטבע היה אסטרונומי. בפועל, המרת שטף הטוקנים הזה למזומן התגלתה ככמעט בלתי אפשרית.
StakeDAO הוא פרוטוקול אופטימיזציית תשואה הבנוי על Curve Finance. טוקן vsdCRV מייצג עמדה מופקדת בבריכות הנזילות של Curve. על ידי הטבעת טריליונים ממנו, התוקף יצר למעשה ערימת טוקנים ללא קונים טבעיים.
למה התוקף הלך עם כיס כמעט ריק
הנזילות של vsdCRV ב-Arbitrum רדודה. כאשר התוקף ניסה להמיר אפילו שבריר מהטוקנים שהוטבעו לנכסים נזילים יותר כמו USDC או ETH, המחיר צנח. הרווח הכולל שהתממש — הסכום שהתוקף הצליח לחלץ בפועל — עמד על 91,000 דולר בלבד לפני שהשוק התעדכן או שהניצול התגלה.
ההון הזעיר הזה ביחס לגודל ההטבעה מדגיש פגיעות פועלת לשני הכיוונים: נזילות נמוכה מגנה על פרוטוקולים מפני ניקוזים מסיביים מיידיים, אך היא גם אומרת שמשתמשים לגיטימיים מתמודדים עם החלקה ואפשרויות יציאה מוגבלות.
StakeDAO לא חשפה בפומבי האם 91,000 הדולר שנגנבו הושבו או האם הפרוטוקול מתכנן לפצות משתמשים שנפגעו. מפתח הפריסה שנפרץ בוטל, נמסר בהודעה קצרה מהחברה, אך הפרטים כיצד נפרץ המפתח מלכתחילה נותרו לא ברורים.
מפתחות שנפרצו: כאב ראש חוזר ב-DeFi
זהו מקרה מבודד. ברחבי מערכת ה-DeFi, תוקפים ניצלו שוב ושוב מפתחות פרטיים שנפרצו — ממפתחות פריסה ועד מולטיסיגים של מנהלים — כדי לרוקן פרוטוקולים. רק בשנת 2024, מספר פריצות גדולות הלכו בעקבות אותו דפוס: מפתח יחיד שדלף נתן לתוקף כוח להטביע, למשוך או להשהות חוזים.
הבעיה היא מבנית. פרוטוקולי DeFi מסתמכים לעיתים קרובות על קומץ מפתחות מועדפים לניהול שדרוגים ופונקציות חירום. אם מפתחות אלה שוכנים בארנקים חמים, במחשבים ניידים של מפתחים, או בתשתית ענן ללא אבטחה חזקה, הם הופכים לנקודת כשל יחידה.
חברות אבטחה המליצו זה מכבר על חתימה מבוססת חומרה, חישוב רב-צדדי ומנעולי זמן כדי להפחית את הסיכון. אך פרוטוקולים רבים עדיין פועלים עם מפתחות שנמצאים במרחק דואר פישינג אחד או מכשיר אחד שנפרץ מגניבה.
הרווח המוגבל של תוקף StakeDAO עשוי להציע נחמה קרה. השאלה הרחבה יותר — כיצד להפוך את ניהול המפתחות המועדפים לחסין כדורים — נותרה ללא מענה. עד שהתעשייה תמצא פתרון בר-הרחבה, מפתח הפריסה הבא שנפרץ עלול להניב רווח גדול בהרבה.
