Egy támadó kihasznált egy feltört telepítőkulcsot (deployer key) a StakeDAO-n, hogy 5,4 billió vsdCRV tokent verjen az Arbitrum hálózaton – de a vékony likviditás miatt a zsákmány csupán 91 000 dollárt ért. A nemrég történt incidens a legújabb a DeFi-feltörések sorában, ahol ellopott privát kulcsok szinte teljes irányítást adtak a támadóknak.
A kizsákmányolás: egyetlen kulcs, hatalmas verés
A támadó hozzáfért egy telepítőkulcshoz – egy emelt jogosultságokkal rendelkező privát kulcshoz a StakeDAO intelligens szerződésrendszerében. Ezt a kulcsot használva engedélyezte 5,4 billió vsdCRV token verését, amely egy stabilcoin-szerű token, a Curve DAO CRV-jéhez kötve. Papíron a vert mennyiség csillagászati volt. A gyakorlatban azonban szinte lehetetlennek bizonyult ezt a tokengyárat készpénzre váltani.
A StakeDAO egy hozamoptimalizálási protokoll, amely a Curve Finance-ra épül. A vsdCRV token egy letétbe helyezett pozíciót képvisel a Curve likviditási pooljaiban. Több billió ilyen token verésével a támadó gyakorlatilag egy olyan tokenhegyet hozott létre, amelyre nem volt természetes vevő.
Miért távozott a támadó zsebpénzzel
A vsdCRV likviditása az Arbitrumon sekély. Amikor a támadó megpróbálta a vert tokenek töredékét is likvidebb eszközökre, például USDC-re vagy ETH-ra váltani, az ár zuhant. A teljes realizált nyereség – az az összeg, amelyet a támadó ténylegesen ki tudott venni – mindössze 91 000 dollár volt, mielőtt a piac átárazódott vagy a kizsákmányolást észlelték.
Ez a verés méretéhez képest csekély zsákmány egy kétélű sebezhetőséget világít meg: az alacsony likviditás megvédi a protokollokat a hatalmas azonnali kiszivattyúzástól, ugyanakkor azt is jelenti, hogy a legitim felhasználók csúszással és korlátozott kilépési lehetőségekkel szembesülnek.
A StakeDAO nem hozta nyilvánosságra, hogy az ellopott 91 000 dollárt visszaszerezték-e, vagy hogy a protokoll tervezi-e a károsult felhasználók kártalanítását. A feltört telepítőkulcsot visszavonták – közölte a cég egy rövid nyilatkozatban –, de a kulcs kezdeti feltörésének részletei továbbra sem tisztázottak.
Feltört kulcsok: visszatérő DeFi-fejfájás
Ez nem elszigetelt eset. A DeFi-ökoszisztémában a támadók ismételten kihasználtak feltört privát kulcsokat – a telepítőkulcsoktól az admin multisigekig – hogy kiszivattyúzzák a protokollokat. Önmagában 2024-ben is több nagy hack követte ugyanazt a mintát: egyetlen kiszivárgott kulcs adott a támadónak hatalmat tokenek verésére, kivételére vagy szerződések felfüggesztésére.
A probléma strukturális. A DeFi-protokollok gyakran egy maroknyi privilegizált kulcsra támaszkodnak a frissítések és vészhelyzeti funkciók kezeléséhez. Ha ezek a kulcsok forró tárcákon, fejlesztői laptopokon vagy felhőinfrastruktúrán élnek robusztus biztonság nélkül, akkor egyetlen meghibásodási ponttá válnak.
A biztonsági cégek régóta ajánlják a hardveralapú aláírást, a többoldalú számítást és az időzárakat a kockázat csökkentésére. De sok protokoll továbbra is olyan kulcsokkal működik, amelyek egy adathalász e-mail vagy egy feltört eszköz távolságra vannak az ellopástól.
A StakeDAO-támadó korlátozott nyeresége hideg vigaszt nyújthat. A tágabb kérdés – hogyan lehet a privilegizált kulcskezelést golyóállóvá tenni – továbbra is megválaszolatlan. Amíg az iparág nem talál skálázható megoldást, a következő feltört telepítőkulcs sokkal nagyobb zsákmányt hozhat.
