Um invasor explorou uma chave de implantação comprometida no StakeDAO para cunhar 5,4 trilhões de tokens vsdCRV na rede Arbitrum — mas a liquidez reduzida fez com que o montante valesse apenas US$ 91.000. O incidente, ocorrido recentemente, é o mais recente de uma série de ataques a DeFi onde chaves privadas roubadas deram aos invasores controle quase total.
O exploit: uma única chave, uma cunhagem massiva
O invasor obteve acesso a uma chave de implantação — uma chave privada com privilégios elevados no sistema de contratos inteligentes do StakeDAO. Usando essa chave, eles autorizaram a cunhagem de 5,4 trilhões de tokens vsdCRV, um token do tipo stablecoin atrelado ao CRV da Curve DAO. No papel, o valor cunhado era astronômico. Na prática, resgatar essa torrente de tokens mostrou-se quase impossível.
O StakeDAO é um protocolo de otimização de rendimentos construído sobre a Curve Finance. O token vsdCRV representa uma posição em staking em pools de liquidez da Curve. Ao cunhar trilhões dele, o invasor efetivamente criou uma montanha de tokens sem compradores naturais.
Por que o invasor saiu com trocados
A liquidez do vsdCRV na Arbitrum é rasa. Quando o invasor tentou trocar até mesmo uma fração dos tokens cunhados por ativos mais líquidos, como USDC ou ETH, o preço despencou. O ganho total realizado — o valor que o invasor conseguiu extrair — chegou a apenas US$ 91.000 antes que o mercado se reajustasse ou o exploit fosse detectado.
Esse pequeno lucro em relação ao tamanho da cunhagem destaca uma vulnerabilidade que funciona nos dois sentidos: a baixa liquidez protege os protocolos de drenagens massivas instantâneas, mas também significa que usuários legítimos enfrentam slippage e opções de saída limitadas.
O StakeDAO não divulgou publicamente se os US$ 91.000 roubados foram recuperados ou se o protocolo planeja compensar os usuários afetados. A chave de implantação comprometida foi revogada, disse a empresa em uma breve declaração, mas os detalhes sobre como a chave foi inicialmente comprometida continuam obscuros.
Chaves comprometidas: uma dor de cabeça recorrente em DeFi
Este não é um caso isolado. Em todo o ecossistema DeFi, invasores têm explorado repetidamente chaves privadas comprometidas — desde chaves de implantação até multisigs de administração — para drenar protocolos. Somente em 2024, vários grandes ataques seguiram o mesmo padrão: uma única chave vazada deu a um invasor o poder de cunhar, retirar ou pausar contratos.
O problema é estrutural. Protocolos DeFi geralmente dependem de um punhado de chaves privilegiadas para gerenciar atualizações e funções de emergência. Se essas chaves estiverem em hot wallets, laptops de desenvolvedores ou infraestrutura em nuvem sem segurança robusta, elas se tornam um ponto único de falha.
Empresas de segurança recomendam há muito tempo o uso de assinatura baseada em hardware, computação multipartidária e timelocks para reduzir o risco. Mas muitos protocolos ainda operam com chaves que estão a um e-mail de phishing ou a um dispositivo comprometido de serem roubadas.
O lucro limitado do invasor do StakeDAO pode oferecer um consolo frio. A questão mais ampla — como tornar o gerenciamento de chaves privilegiadas à prova de falhas — permanece sem resposta. Até que a indústria encontre uma solução escalável, a próxima chave de implantação comprometida pode render um dia de pagamento muito maior.
