Een aanvaller heeft een gecompromitteerde deployer-sleutel op StakeDAO gebruikt om 5,4 biljoen vsdCRV-tokens op het Arbitrum-netwerk te minten — maar dunne liquiditeit betekende dat de buit slechts $91.000 waard was. Het incident, dat zich onlangs voordeed, is de laatste in een reeks DeFi-hacks waarbij gestolen privésleutels de aanvaller bijna volledige controle gaven.
De exploit: één enkele sleutel, een enorme mint
De aanvaller kreeg toegang tot een deployer-sleutel — een privésleutel met verhoogde rechten binnen het smart contract-systeem van StakeDAO. Met die sleutel autoriseerden ze het minten van 5,4 biljoen vsdCRV-tokens, een stablecoin-achtige token gekoppeld aan Curve DAO's CRV. Op papier was het geminte bedrag astronomisch. In de praktijk bleek het verzilveren van die stortvloed aan tokens bijna onmogelijk.
StakeDAO is een rendementsoptimalisatieprotocol gebouwd op Curve Finance. De vsdCRV-token vertegenwoordigt een gestakede positie in de liquiditeitspools van Curve. Door er biljoenen van te minten, creëerde de aanvaller effectief een berg tokens zonder natuurlijke kopers.
Waarom de aanvaller met een schijntje wegkwam
De liquiditeit voor vsdCRV op Arbitrum is gering. Toen de aanvaller probeerde zelfs een fractie van de geminte tokens om te wisselen naar meer liquide activa zoals USDC of ETH, kelderde de prijs. De totale gerealiseerde winst — het bedrag dat de aanvaller daadwerkelijk wist te onttrekken — kwam uit op slechts $91.000 voordat de markt zich opnieuw prijsstelde of de exploit werd ontdekt.
Die kleine buit in verhouding tot de omvang van de mint benadrukt een kwetsbaarheid die beide kanten op werkt: lage liquiditeit beschermt protocollen tegen massale, directe leegrovingen, maar betekent ook dat legitieme gebruikers te maken krijgen met slippage en beperkte uitstapmogelijkheden.
StakeDAO heeft niet openbaar gemaakt of de gestolen $91.000 is teruggevorderd of dat het protocol van plan is getroffen gebruikers te compenseren. De gecompromitteerde deployer-sleutel is ingetrokken, aldus het bedrijf in een korte verklaring, maar details over hoe de sleutel aanvankelijk werd gecompromitteerd, blijven onduidelijk.
Gecompromitteerde sleutels: een terugkerend DeFi-hoofdpijndossier
Dit is geen geïsoleerd geval. In het hele DeFi-ecosysteem hebben aanvallers herhaaldelijk misbruik gemaakt van gecompromitteerde privésleutels — van deployer-sleutels tot admin-multisigs — om protocollen leeg te halen. Alleen al in 2024 volgden verschillende grote hacks hetzelfde patroon: één enkele gelekste sleutel gaf een aanvaller de macht om contracten te minten, op te nemen of te pauzeren.
Het probleem is structureel. DeFi-protocollen vertrouwen vaak op een handvol geprivilegieerde sleutels om upgrades en noodfuncties te beheren. Als die sleutels op hot wallets, ontwikkelaarslaptops of cloudinfrastructuur staan zonder robuuste beveiliging, worden ze een single point of failure.
Beveiligingsbedrijven raden al lang hardware-gebaseerd ondertekenen, multi-party computation en timelocks aan om het risico te verkleinen. Maar veel protocollen werken nog steeds met sleutels die nog maar één phishingmail of één gecompromitteerd apparaat verwijderd zijn van diefstal.
De beperkte winst van de StakeDAO-aanvaller biedt wellicht koude troost. De bredere vraag — hoe geprivilegieerd sleutelbeheer waterdicht te maken — blijft onbeantwoord. Tot de industrie een schaalbare oplossing vindt, kan de volgende gecompromitteerde deployer-sleutel een veel grotere buit opleveren.
