攻撃者は、StakeDAOのデプロイヤーキー(特権的な秘密鍵)を危殆化し、Arbitrumネットワーク上で5.4兆vsdCRVトークンを鋳造した。しかし、流動性が薄かったため、獲得額はわずか91,000ドルに過ぎなかった。この最近発生した事件は、盗まれた秘密鍵によって攻撃者にほぼ完全な制御が与えられる一連のDeFiハッキングの最新事例である。
エクスプロイト:単一の鍵、巨大な鋳造
攻撃者は、StakeDAOのスマートコントラクトシステム内で昇格した権限を持つデプロイヤー鍵を入手した。その鍵を使用して、Curve DAOのCRVに連動するステーブルコイン類似トークンであるvsdCRVを5.4兆トークン鋳造することを承認した。紙面上では、鋳造量は天文学的なものだった。実際には、その大量のトークンを現金化することはほぼ不可能であることが判明した。
StakeDAOはCurve Finance上に構築された利得最適化プロトコルである。vsdCRVトークンは、Curveの流動性プールへのステークされたポジションを表す。攻撃者はそれを数兆単位で鋳造することで、実質的に買い手のいないトークンの山を作り出した。
なぜ攻撃者は僅かな金額しか手にできなかったのか
ArbitrumにおけるvsdCRVの流動性は薄い。攻撃者が鋳造したトークンのごく一部でもUSDCやETHなどのより流動性の高い資産に交換しようとすると、価格が急落した。実際に実現した利益、つまり攻撃者が実際に引き出せた金額は、市場が再評価されるかエクスプロイトが検出されるまでの間にわずか91,000ドルであった。
鋳造規模に比べて小さな獲得額は、両刃の剣となる脆弱性を浮き彫りにしている。低い流動性はプロトコルを大規模な瞬間的な流出から保護する一方、正当なユーザーはスリッページや限られた退出オプションに直面することになる。
StakeDAOは、盗まれた91,000ドルが回収されたかどうか、またプロトコルが影響を受けたユーザーに補償する計画があるかどうかを公には明らかにしていない。同社は簡潔な声明で、危殆化したデプロイヤー鍵は無効化されたと述べているが、鍵がどのようにして最初に危殆化されたのかについての詳細は不明のままである。
危殆化した鍵:繰り返されるDeFiの頭痛の種
これは孤立した事例ではない。DeFiエコシステム全体で、攻撃者はデプロイヤー鍵から管理者マルチシグに至るまで、繰り返し危殆化した秘密鍵を悪用してプロトコルから資金を引き出してきた。2024年だけでも、いくつかの大規模ハッキングが同じパターンをたどっている。すなわち、単一の漏洩した鍵によって攻撃者はトークンの鋳造、引き出し、コントラクトの一時停止などの権限を得た。
問題は構造的である。DeFiプロトコルは、アップグレードや緊急機能を管理するために、しばしば少数の特権鍵に依存している。それらの鍵がホットウォレット、開発者のラップトップ、または堅牢なセキュリティのないクラウドインフラ上に存在する場合、単一障害点となる。
セキュリティ企業は長年にわたり、リスクを低減するためにハードウェアベースの署名、マルチパーティ計算、タイムロックを推奨してきた。しかし、多くのプロトコルは依然として、1通のフィッシングメールや1台の侵害されたデバイスで盗まれる可能性のある鍵で運用されている。
StakeDAO攻撃者が得た限定的な利益は、小さな慰めに過ぎないかもしれない。特権鍵管理を堅牢にする方法というより広範な問題は未解決のままである。業界がスケーラブルな解決策を見つけるまで、次の危殆化したデプロイヤー鍵がはるかに大きな利益をもたらす可能性がある。
