En angriper utnyttet en kompromittert deployer-nøkkel på StakeDAO til å prege 5,4 billioner vsdCRV-tokens på Arbitrum-nettverket – men tynn likviditet gjorde at utbyttet bare var verdt $91 000. Hendelsen, som nylig fant sted, er den siste i en rekke DeFi-hack der stjålne private nøkler ga angriperne nær full kontroll.
Utnyttelsen: én enkelt nøkkel, en enorm preging
Angriperen fikk tilgang til en deployer-nøkkel – en privat nøkkel med forhøyede rettigheter innen StakeDAOs smartkontraktssystem. Ved hjelp av den nøkkelen autoriserte de pregingen av 5,4 billioner vsdCRV-tokens, en stabilmynt-lignende token knyttet til Curve DAOs CRV. På papiret var den pregede mengden astronomisk. I praksis viste det seg nesten umulig å innløse den strømmen av tokens.
StakeDAO er en yield-optimeringsprotokoll bygget på Curve Finance. vsdCRV-tokenet representerer en innsats i Curves likviditetspooler. Ved å prege billioner av den skapte angriperen et fjell av tokens uten naturlige kjøpere.
Hvorfor angriperen gikk med småpenger
Likviditeten for vsdCRV på Arbitrum er tynn. Da angriperen prøvde å bytte selv en brøkdel av de pregede tokensene til mer likvide eiendeler som USDC eller ETH, kollapset prisen. Den totale realiserte gevinsten – beløpet angriperen faktisk klarte å hente ut – endte på bare $91 000 før markedet reagerte eller utnyttelsen ble oppdaget.
Det lille utbyttet sammenlignet med pregingens størrelse fremhever en sårbarhet som virker begge veier: lav likviditet beskytter protokoller mot massive øyeblikkelige tappinger, men det betyr også at legitime brukere opplever glidning og begrensede utgangsmuligheter.
StakeDAO har ikke offentliggjort om de stjålne $91 000 ble gjenopprettet eller om protokollen planlegger å kompensere berørte brukere. Den kompromitterte deployer-nøkkelen er tilbakekalt, ifølge en kort uttalelse fra selskapet, men detaljer om hvordan nøkkelen opprinnelig ble kompromittert er fortsatt uklare.
Kompromitterte nøkler: en tilbakevendende DeFi-hodepine
Dette er ikke et isolert tilfelle. I hele DeFi-økosystemet har angripere gjentatte ganger utnyttet kompromitterte private nøkler – fra deployer-nøkler til admin-multisigs – for å tappe protokoller. Bare i 2024 fulgte flere større hack samme mønster: én enkelt lekkasje ga en angriper makt til å prege, ta ut eller sette kontrakter på pause.
Problemet er strukturelt. DeFi-protokoller er ofte avhengige av et fåtall privilegerte nøkler for å håndtere oppgraderinger og nødvendige funksjoner. Hvis disse nøklene ligger på hot wallets, utviklerlaptoper eller skyløsninger uten robust sikkerhet, blir de et enkeltpunkt for feil.
Sikkerhetsfirmaer har lenge anbefalt maskinvarebasert signering, flerpartiberegning og tidslåser for å redusere risikoen. Men mange protokoller opererer fortsatt med nøkler som er én phishing-e-post eller én kompromittert enhet unna å bli stjålet.
StakeDAO-angriperens begrensede fortjeneste kan være en kald trøst. Det større spørsmålet – hvordan gjøre privilegert nøkkelstyring skuddsikker – er fortsatt ubesvart. Inntil bransjen finner en skalerbar løsning, kan den neste kompromitterte deployer-nøkkelen gi en langt større utbetaling.
