Un attaccante ha sfruttato una chiave di deploy compromessa su StakeDAO per coniare 5,4 trilioni di token vsdCRV sulla rete Arbitrum, ma la scarsa liquidità ha reso il bottino di soli 91.000 dollari. L'incidente, avvenuto di recente, è l'ultimo di una serie di hack DeFi in cui chiavi private rubate hanno dato agli attaccanti un controllo quasi totale.
L'exploit: una singola chiave, una coniazione massiccia
L'attaccante ha ottenuto l'accesso a una chiave di deploy — una chiave privata con privilegi elevati all'interno del sistema di smart contract di StakeDAO. Usando quella chiave, ha autorizzato la coniazione di 5,4 trilioni di token vsdCRV, un token simile a una stablecoin ancorato al CRV di Curve DAO. Sulla carta, l'importo coniato era astronomico. In pratica, incassare quel torrente di token si è rivelato quasi impossibile.
StakeDAO è un protocollo di ottimizzazione dei rendimenti basato su Curve Finance. Il token vsdCRV rappresenta una posizione staking nei pool di liquidità di Curve. Coniando trilioni di token, l'attaccante ha di fatto creato una montagna di token senza acquirenti naturali.
Perché l'attaccante se n'è andato con pochi spiccioli
La liquidità per vsdCRV su Arbitrum è limitata. Quando l'attaccante ha cercato di scambiare anche solo una frazione dei token coniati in asset più liquidi come USDC o ETH, il prezzo è crollato. Il guadagno totale realizzato — l'importo che l'attaccante è riuscito effettivamente a estrarre — è stato di soli 91.000 dollari prima che il mercato si riallineasse o l'exploit venisse rilevato.
Questo bottino esiguo rispetto all'entità della coniazione evidenzia una vulnerabilità a doppio taglio: la bassa liquidità protegge i protocolli da prelievi massicci istantanei, ma significa anche che gli utenti legittimi devono affrontare slippage e opzioni di uscita limitate.
StakeDAO non ha rivelato pubblicamente se i 91.000 dollari rubati siano stati recuperati o se il protocollo intenda risarcire gli utenti colpiti. La chiave di deploy compromessa è stata revocata, ha affermato la società in una breve dichiarazione, ma i dettagli su come la chiave sia stata inizialmente compromessa rimangono poco chiari.
Chiavi compromesse: un mal di testa ricorrente per i DeFi
Non si tratta di un caso isolato. Nell'ecosistema DeFi, gli attaccanti hanno ripetutamente sfruttato chiavi private compromesse — dalle chiavi di deploy ai multisig di amministrazione — per prosciugare i protocolli. Solo nel 2024, diversi grandi hack hanno seguito lo stesso schema: una singola chiave divulgata ha dato a un attaccante il potere di coniare, prelevare o mettere in pausa i contratti.
Il problema è strutturale. I protocolli DeFi spesso si affidano a una manciata di chiavi privilegiate per gestire aggiornamenti e funzioni di emergenza. Se queste chiave risiedono su hot wallet, laptop degli sviluppatori o infrastrutture cloud senza una sicurezza robusta, diventano un singolo punto di guasto.
Le aziende di sicurezza raccomandano da tempo la firma basata su hardware, il calcolo multi-party e i timelock per ridurre il rischio. Ma molti protocolli operano ancora con chiavi che sono a un'email di phishing o a un dispositivo compromesso di distanza dall'essere rubate.
Il profitto limitato dell'attaccante di StakeDAO può offrire una magra consolazione. La questione più ampia — come rendere la gestione delle chiavi privilegiate a prova di proiettile — rimane senza risposta. Fino a quando l'industria non troverà una soluzione scalabile, la prossima chiave di deploy compromessa potrebbe portare a un guadagno molto più grande.
