StakeDAO हमलावर ने 5.4 ट्रिलियन टोकन मिंट किए, कमाए केवल $91,000

एक हमलावर ने Arbitrum नेटवर्क पर 5.4 ट्रिलियन vsdCRV टोकन मिंट करने के लिए StakeDAO के एक समझौता किए गए डिप्लॉयर कुंजी का शोषण किया — लेकिन पतली तरलता के कारण यह राशि केवल $91,000 मूल्य की रही। हाल ही में सामने आई यह घटना DeFi हैक्स की एक श्रृंखला में नवीनतम है, जहाँ चुराई गई निजी कुंजियों ने हमलावरों को लगभग पूर्ण नियंत्रण दे दिया।

शोषण: एक कुंजी, एक विशाल मिंट

हमलावर ने एक डिप्लॉयर कुंजी तक पहुँच प्राप्त की — StakeDAO की स्मार्ट कॉन्ट्रैक्ट प्रणाली के भीतर उच्च विशेषाधिकार वाली एक निजी कुंजी। उस कुंजी का उपयोग करके, उन्होंने 5.4 ट्रिलियन vsdCRV टोकन मिंट करने का अधिकार दिया, जो Curve DAO के CRV से जुड़ा एक स्टेबलकॉइन जैसा टोकन है। कागज़ पर, मिंट की गई राशि खगोलीय थी। व्यवहार में, उस टोकन की बाढ़ को भुनाना लगभग असंभव साबित हुआ।

StakeDAO Curve Finance पर बना एक उपज अनुकूलन प्रोटोकॉल है। vsdCRV टोकन Curve के तरलता पूल में एक स्टेक की गई स्थिति को दर्शाता है। इसमें से ट्रिलियन मिंट करके, हमलावर ने प्रभावी रूप से बिना किसी प्राकृतिक खरीदार के टोकन का एक पहाड़ बना दिया।

हमलावर को जेब खर्च क्यों मिला?

Arbitrum पर vsdCRV की तरलता उथली है। जब हमलावर ने मिंट किए गए टोकन के एक अंश को भी USDC या ETH जैसी अधिक तरल संपत्तियों में बदलने का प्रयास किया, तो कीमत गिर गई। कुल प्राप्त लाभ — वह राशि जो हमलावर वास्तव में निकालने में कामयाब रहा — बाजार के पुनर्मूल्यांकन या शोषण का पता लगने से पहले केवल $91,000 थी।

मिंट के आकार के सापेक्ष यह छोटी राशि एक ऐसी कमजोरी को उजागर करती है जो दो तरह से काम करती है: कम तरलता प्रोटोकॉल को बड़े पैमाने पर तत्काल निकासी से बचाती है, लेकिन इसका मतलब यह भी है कि वैध उपयोगकर्ताओं को फिसलन और सीमित निकास विकल्पों का सामना करना पड़ता है।

StakeDAO ने सार्वजनिक रूप से यह खुलासा नहीं किया है कि चुराए गए $91,000 बरामद किए गए या प्रोटोकॉल प्रभावित उपयोगकर्ताओं को मुआवजा देने की योजना बना रहा है। कंपनी ने एक संक्षिप्त बयान में कहा कि समझौता किए गए डिप्लॉयर कुंजी को रद्द कर दिया गया है, लेकिन कुंजी से शुरू में कैसे समझौता किया गया, इसके विवरण अस्पष्ट बने हुए हैं।

समझौता की गई कुंजियाँ: DeFi के लिए एक आवर्ती सिरदर्द

यह एक अलग मामला नहीं है। पूरे DeFi पारिस्थितिकी तंत्र में, हमलावरों ने प्रोटोकॉल को खत्म करने के लिए बार-बार समझौता की गई निजी कुंजियों — डिप्लॉयर कुंजी से लेकर एडमिन मल्टीसिग तक — का शोषण किया है। अकेले 2024 में, कई प्रमुख हैक्स ने उसी पैटर्न का पालन किया: एक एकल लीक हुई कुंजी ने हमलावर को टोकन मिंट करने, निकालने या अनुबंधों को रोकने की शक्ति दी।

समस्या संरचनात्मक है। DeFi प्रोटोकॉल अक्सर अपग्रेड और आपातकालीन कार्यों के प्रबंधन के लिए मुट्ठी भर विशेषाधिकार प्राप्त कुंजियों पर निर्भर करते हैं। यदि वे कुंजियाँ हॉट वॉलेट, डेवलपर लैपटॉप, या क्लाउड इंफ्रास्ट्रक्चर पर मजबूत सुरक्षा के बिना रहती हैं, तो वे विफलता का एक बिंदु बन जाती हैं।

सुरक्षा फर्मों ने लंबे समय से जोखिम को कम करने के लिए हार्डवेयर-आधारित हस्ताक्षर, बहु-पक्षीय गणना और टाइमलॉक की सिफारिश की है। लेकिन कई प्रोटोकॉल अभी भी ऐसी कुंजियों के साथ काम करते हैं जो एक फ़िशिंग ईमेल या एक समझौता किए गए उपकरण से चुराए जाने से दूर हैं।

StakeDAO हमलावर का सीमित लाभ ठंडा आराम दे सकता है। व्यापक प्रश्न — विशेषाधिकार प्राप्त कुंजी प्रबंधन को अभेद्य कैसे बनाया जाए — अनुत्तरित है। जब तक उद्योग को एक स्केलेबल समाधान नहीं मिल जाता, अगला समझौता किया गया डिप्लॉयर कुंजी कहीं अधिक बड़ा भुगतान दे सकता है।