Seorang penyerang mengeksploitasi kunci pengguna (deployer) yang terjejas pada StakeDAO untuk mencetak 5.4 trilion token vsdCRV di rangkaian Arbitrum — tetapi kecairan yang tipis menyebabkan hasil rampasan hanya bernilai $91,000. Insiden yang berlaku baru-baru ini adalah yang terbaru dalam siri penggodaman DeFi di mana kunci peribadi yang dicuri memberikan penyerang kawalan hampir menyeluruh.
Eksploitasi: satu kunci, cetakan besar-besaran
Penyerang memperoleh akses kepada kunci pengguna (deployer) — kunci peribadi dengan keistimewaan tinggi dalam sistem kontrak pintar StakeDAO. Menggunakan kunci itu, mereka membenarkan pencetakan 5.4 trilion token vsdCRV, token seperti stablecoin yang terikat dengan CRV Curve DAO. Dari segi teori, jumlah yang dicetak adalah astronomi. Dalam amalan, menunaikan banjir token itu hampir mustahil.
StakeDAO adalah protokol pengoptimuman hasil yang dibina di atas Curve Finance. Token vsdCRV mewakili kedudukan yang dipertaruhkan dalam kolam kecairan Curve. Dengan mencetak trilion daripadanya, penyerang secara efektif mencipta gunung token tanpa pembeli semula jadi.
Mengapa penyerang pergi dengan hasil yang sedikit
Kecairan untuk vsdCRV di Arbitrum adalah cetek. Apabila penyerang cuba menukar walaupun sebahagian kecil token yang dicetak kepada aset yang lebih cair seperti USDC atau ETH, harga merudum. Jumlah keuntungan yang direalisasikan — jumlah yang sebenarnya berjaya dikeluarkan oleh penyerang — hanya $91,000 sebelum pasaran menilai semula atau eksploitasi dikesan.
Hasil yang kecil berbanding saiz cetakan itu menonjolkan kelemahan yang bermata dua: kecairan rendah melindungi protokol daripada pengaliran besar-besaran secara serta-merta, tetapi ia juga bermakna pengguna sah menghadapi gelinciran (slippage) dan pilihan keluar yang terhad.
StakeDAO belum mendedahkan secara umum sama ada $91,000 yang dicuri telah dipulihkan atau sama ada protokol merancang untuk memberi pampasan kepada pengguna yang terjejas. Kunci pengguna yang terjejas telah dibatalkan, kata syarikat dalam kenyataan ringkas, tetapi butiran tentang bagaimana kunci itu pada mulanya terjejas masih tidak jelas.
Kunci terjejas: sakit kepala DeFi yang berulang
Ini bukan kes terpencil. Di seluruh ekosistem DeFi, penyerang berulang kali mengeksploitasi kunci peribadi yang terjejas — daripada kunci pengguna kepada multisig admin — untuk mengalirkan protokol. Pada tahun 2024 sahaja, beberapa penggodaman besar mengikuti corak yang sama: satu kunci yang bocor memberikan penyerang kuasa untuk mencetak, mengeluarkan, atau menjeda kontrak.
Masalahnya adalah struktur. Protokol DeFi sering bergantung pada segelintir kunci istimewa untuk menguruskan naik taraf dan fungsi kecemasan. Jika kunci tersebut disimpan dalam dompet panas, komputer riba pembangun, atau infrastruktur awan tanpa keselamatan yang teguh, ia menjadi satu titik kegagalan.
Firma keselamatan telah lama mengesyorkan tandatangan berasaskan perkakasan, pengiraan berbilang pihak, dan kunci masa (timelocks) untuk mengurangkan risiko. Tetapi banyak protokol masih beroperasi dengan kunci yang hanya satu email pancingan data atau satu peranti terjejas dari dicuri.
Keuntungan terhad penyerang StakeDAO mungkin memberikan sedikit penghiburan. Persoalan yang lebih besar — bagaimana menjadikan pengurusan kunci istimewa kalis peluru — masih belum terjawab. Sehingga industri mencari penyelesaian berskala, kunci pengguna yang terjejas seterusnya boleh menghasilkan pulangan yang jauh lebih besar.
