Un atacator a exploatat o cheie de implementare compromisă pe StakeDAO pentru a emite 5,4 trilioane de tokenuri vsdCRV pe rețeaua Arbitrum – dar lichiditatea redusă a însemnat că prada valorează doar 91.000 de dolari. Incidentul, care a avut loc recent, este cel mai recent dintr-o serie de hack-uri DeFi în care chei private furate au oferit atacatorilor un control aproape total.
Exploatarea: o singură cheie, o emisiune masivă
Atacatorul a obținut acces la o cheie de implementare – o cheie privată cu privilegii ridicate în sistemul de contracte inteligente al StakeDAO. Folosind acea cheie, au autorizat emiterea a 5,4 trilioane de tokenuri vsdCRV, un token asemănător unui stablecoin, ancorat la CRV de la Curve DAO. Pe hârtie, suma emisă era astronomică. În practică, transformarea acelui torent de tokenuri în bani lichizi s-a dovedit aproape imposibilă.
StakeDAO este un protocol de optimizare a randamentelor construit pe Curve Finance. Tokenul vsdCRV reprezintă o poziție mizată în pool-urile de lichiditate ale Curve. Emițând trilioane de tokenuri, atacatorul a creat efectiv un munte de tokenuri fără cumpărători naturali.
De ce atacatorul a plecat cu o sumă derizorie
Lichiditatea pentru vsdCRV pe Arbitrum este superficială. Când atacatorul a încercat să schimbe chiar și o fracțiune din tokenurile emise în active mai lichide, cum ar fi USDC sau ETH, prețul s-a prăbușit. Câștigul total realizat – suma pe care atacatorul a reușit efectiv să o extragă – s-a ridicat la doar 91.000 de dolari înainte ca piața să se reajusteze sau ca exploatarea să fie detectată.
Acest câștig infim în raport cu dimensiunea emisiunii scoate în evidență o vulnerabilitate care funcționează în ambele sensuri: lichiditatea redusă protejează protocoalele de goliri masive instantanee, dar înseamnă, de asemenea, că utilizatorii legitimi se confruntă cu derapaje de preț și opțiuni limitate de ieșire.
StakeDAO nu a dezvăluit public dacă cei 91.000 de dolari furați au fost recuperați sau dacă protocolul intenționează să compenseze utilizatorii afectați. Cheia de implementare compromisă a fost revocată, a declarat compania într-o scurtă declarație, însă detaliile privind modul în care cheia a fost inițial compromisă rămân neclare.
Chei compromise: o durere de cap recurentă în DeFi
Acesta nu este un caz izolat. În întregul ecosistem DeFi, atacatorii au exploatat în mod repetat chei private compromise – de la chei de implementare la multisig-uri administrative – pentru a goli protocoale. Numai în 2024, câteva hack-uri majore au urmat același tipar: o singură cheie scursă a oferit atacatorului puterea de a emite, retrage sau întrerupe contracte.
Problema este structurală. Protocoalele DeFi se bazează adesea pe o mână de chei privilegiate pentru a gestiona upgrade-uri și funcții de urgență. Dacă acele chei se află în portofele fierbinți, pe laptopurile dezvoltatorilor sau în infrastructură cloud fără securitate robustă, ele devin un singur punct de eșec.
Firmele de securitate au recomandat de mult timp semnarea bazată pe hardware, calculul multi-party și blocările temporale pentru a reduce riscul. Dar multe protocoale încă operează cu chei care sunt la un e-mail de phishing sau un dispozitiv compromis distanță de a fi furate.
Profitul limitat al atacatorului StakeDAO poate oferi o consolare rece. Întrebarea mai amplă – cum să facem gestionarea cheilor privilegiate infailibilă – rămâne fără răspuns. Până când industria va găsi o soluție scalabilă, următoarea cheie de implementare compromisă ar putea aduce o recompensă mult mai mare.
