Atakujący wykorzystał skompromitowany klucz wdrożeniowy w StakeDAO, aby wybić 5,4 biliona tokenów vsdCRV w sieci Arbitrum – jednak niska płynność sprawiła, że łup był wart zaledwie 91 000 dolarów. Incydent, który miał miejsce niedawno, jest najnowszym z serii włamań do DeFi, w których kradzież prywatnych kluczy dała atakującym niemal pełną kontrolę.
Eksploit: jeden klucz, ogromna emisja
Atakujący uzyskał dostęp do klucza wdrożeniowego – prywatnego klucza z podwyższonymi uprawnieniami w systemie inteligentnych kontraktów StakeDAO. Za pomocą tego klucza autoryzował wybicie 5,4 biliona tokenów vsdCRV, tokena przypominającego stablecoina, powiązanego z CRV Curve DAO. Na papierze wybita kwota była astronomiczna. W praktyce spieniężenie tego potoku tokenów okazało się prawie niemożliwe.
StakeDAO to protokół optymalizacji zysków zbudowany na Curve Finance. Token vsdCRV reprezentuje postawioną pozycję w pulach płynności Curve. Wybijając biliony tych tokenów, atakujący stworzył górę tokenów bez naturalnych nabywców.
Dlaczego atakujący odszedł z drobnymi
Płynność vsdCRV w Arbitrum jest płytka. Gdy atakujący próbował wymienić nawet ułamek wybitych tokenów na bardziej płynne aktywa, takie jak USDC czy ETH, cena gwałtownie spadała. Łączny zrealizowany zysk – kwota, którą atakującemu faktycznie udało się wyciągnąć – wyniósł zaledwie 91 000 dolarów, zanim rynek się przeszacował lub exploit został wykryty.
Taki skromny łup w stosunku do wielkości emisji uwydatnia lukę działającą w obie strony: niska płynność chroni protokoły przed masowym natychmiastowym drenażem, ale oznacza również, że legalni użytkownicy napotykają poślizg i ograniczone możliwości wyjścia.
StakeDAO nie ujawniło publicznie, czy skradzione 91 000 dolarów zostało odzyskane, ani czy protokół planuje zrekompensować dotkniętym użytkownikom. Skompromitowany klucz wdrożeniowy został unieważniony – poinformowała firma w krótkim oświadczeniu – ale szczegóły dotyczące pierwotnej kompromitacji klucza pozostają niejasne.
Skompromitowane klucze: powracający ból głowy w DeFi
Nie jest to odosobniony przypadek. W ekosystemie DeFi atakujący wielokrotnie wykorzystywali skompromitowane klucze prywatne – od kluczy wdrożeniowych po administracyjne multisigi – do drenowania protokołów. Tylko w 2024 roku kilka poważnych włamań przebiegało według tego samego schematu: jeden wyciekły klucz dawał atakującemu możliwość wybijania, wypłacania lub wstrzymywania kontraktów.
Problem ma charakter strukturalny. Protokoły DeFi często opierają się na garstce uprzywilejowanych kluczy do zarządzania aktualizacjami i funkcjami awaryjnymi. Jeśli te klucze znajdują się w gorących portfelach, na laptopach programistów lub w infrastrukturze chmurowej bez solidnych zabezpieczeń, stają się pojedynczym punktem awarii.
Firmy zajmujące się bezpieczeństwem od dawna zalecają podpisywanie oparte na sprzęcie, obliczenia wielostronne i blokady czasowe w celu zmniejszenia ryzyka. Jednak wiele protokołów nadal działa z kluczami, które są o jeden phishingowy e-mail lub jedno skompromitowane urządzenie od kradzieży.
Ograniczony zysk atakującego na StakeDAO może być słabym pocieszeniem. Szersze pytanie – jak uczynić zarządzanie uprzywilejowanymi kluczami odpornym na ataki – pozostaje bez odpowiedzi. Dopóki branża nie znajdzie skalowalnego rozwiązania, następny skompromitowany klucz wdrożeniowy może przynieść znacznie większy łup.
