Seorang penyerang mengeksploitasi kunci deployer yang disusupi pada StakeDAO untuk mencetak 5,4 triliun token vsdCRV di jaringan Arbitrum — namun likuiditas yang tipis membuat hasil rampasan hanya bernilai $91.000. Insiden yang terjadi baru-baru ini ini merupakan yang terbaru dari serangkaian peretasan DeFi di mana kunci pribadi yang dicuri memberikan kendali hampir penuh kepada penyerang.
Eksploitasi: satu kunci, pencetakan masif
Penyerang mendapatkan akses ke kunci deployer — sebuah kunci pribadi dengan hak istimewa tinggi di dalam sistem kontrak pintar StakeDAO. Dengan menggunakan kunci tersebut, mereka mengotorisasi pencetakan 5,4 triliun token vsdCRV, token mirip stablecoin yang dipatok ke CRV milik Curve DAO. Secara teoritis, jumlah yang dicetak sangat besar. Dalam praktiknya, menguangkan banjir token tersebut hampir mustahil.
StakeDAO adalah protokol optimasi hasil yang dibangun di atas Curve Finance. Token vsdCRV mewakili posisi staking di kolam likuiditas Curve. Dengan mencetak triliunan token, penyerang secara efektif menciptakan gunungan token tanpa pembeli alami.
Mengapa penyerang hanya membawa pulang receh
Likuiditas untuk vsdCRV di Arbitrum sangat dangkal. Ketika penyerang mencoba menukar bahkan sebagian kecil dari token yang dicetak menjadi aset yang lebih likuid seperti USDC atau ETH, harga anjlok. Total keuntungan yang terealisasi — jumlah yang benar-benar berhasil diambil penyerang — hanya mencapai $91.000 sebelum pasar menyesuaikan kembali atau eksploitasi terdeteksi.
Hasil kecil tersebut jika dibandingkan dengan ukuran pencetakan menyoroti kerentanan yang bersifat dua sisi: likuiditas rendah melindungi protokol dari pengurasan instan yang masif, tetapi juga berarti pengguna yang sah menghadapi selip dan opsi keluar yang terbatas.
StakeDAO belum mengungkapkan secara publik apakah $91.000 yang dicuri berhasil dipulihkan atau apakah protokol berencana memberikan kompensasi kepada pengguna yang terdampak. Kunci deployer yang disusupi telah dicabut, demikian perusahaan menyatakan dalam pernyataan singkat, tetapi detail tentang bagaimana kunci tersebut awalnya disusupi masih belum jelas.
Kunci yang disusupi: sakit kepala berulang di DeFi
Ini bukan kasus yang terisolasi. Di seluruh ekosistem DeFi, penyerang berulang kali mengeksploitasi kunci pribadi yang disusupi — mulai dari kunci deployer hingga multisig admin — untuk menguras protokol. Hanya pada tahun 2024, beberapa peretasan besar mengikuti pola yang sama: satu kunci yang bocor memberi penyerang kekuatan untuk mencetak, menarik, atau menghentikan kontrak.
Masalahnya bersifat struktural. Protokol DeFi sering kali bergantung pada segelintir kunci istimewa untuk mengelola peningkatan dan fungsi darurat. Jika kunci-kunci tersebut disimpan di dompet panas, laptop pengembang, atau infrastruktur cloud tanpa keamanan yang kuat, maka kunci-kunci tersebut menjadi titik kegagalan tunggal.
Perusahaan keamanan telah lama merekomendasikan penandatanganan berbasis perangkat keras, komputasi multipihak, dan kunci waktu untuk mengurangi risiko. Namun, banyak protokol masih beroperasi dengan kunci yang hanya berjarak satu email phishing atau satu perangkat yang disusupi dari pencurian.
Keuntungan terbatas penyerang StakeDAO mungkin memberikan sedikit penghiburan. Pertanyaan yang lebih luas — bagaimana membuat manajemen kunci istimewa menjadi anti-peluru — masih belum terjawab. Sampai industri menemukan solusi yang dapat diskalakan, kunci deployer yang disusupi berikutnya bisa menghasilkan keuntungan yang jauh lebih besar.
