Злоумышленник воспользовался скомпрометированным ключом развертывания на платформе StakeDAO, чтобы выпустить 5,4 триллиона токенов vsdCRV в сети Arbitrum, однако низкая ликвидность означала, что добыча составила всего $91 000. Инцидент, произошедший недавно, стал очередным в череде взломов DeFi, где украденные приватные ключи давали атакующим почти полный контроль.
Эксплойт: один ключ, огромная эмиссия
Атакующий получил доступ к ключу развертывания — приватному ключу с расширенными привилегиями в системе смарт-контрактов StakeDAO. Используя этот ключ, он санкционировал выпуск 5,4 триллиона токенов vsdCRV, стейблкоиноподобного токена, привязанного к CRV от Curve DAO. На бумаге эмитированная сумма была астрономической. На практике обналичить этот поток токенов оказалось практически невозможно.
StakeDAO — это протокол оптимизации доходности, построенный на базе Curve Finance. Токен vsdCRV представляет собой стейкинг-позицию в пулах ликвидности Curve. Выпустив триллионы таких токенов, атакующий фактически создал гору токенов, на которые не нашлось естественных покупателей.
Почему атакующий ушел с мелочью
Ликвидность vsdCRV в Arbitrum неглубока. Когда атакующий попытался обменять даже часть эмитированных токенов на более ликвидные активы, такие как USDC или ETH, цена резко упала. Общий реализованный доход — сумма, которую атакующему удалось реально извлечь, — составил всего $91 000 до того, как рынок переоценился или эксплойт был обнаружен.
Этот мизерный улов по сравнению с масштабом эмиссии подчеркивает уязвимость, которая работает в обе стороны: низкая ликвидность защищает протоколы от массового мгновенного вывода средств, но также означает, что легитимные пользователи сталкиваются с проскальзыванием и ограниченными возможностями выхода.
StakeDAO не раскрыл публично, были ли возвращены украденные $91 000 или планирует ли протокол компенсировать пострадавших пользователей. Скомпрометированный ключ развертывания был отозван, сообщила компания в кратком заявлении, однако подробности о том, как ключ был изначально скомпрометирован, остаются неясными.
Скомпрометированные ключи: повторяющаяся головная боль DeFi
Это не единичный случай. По всей экосистеме DeFi атакующие неоднократно эксплуатировали скомпрометированные приватные ключи — от ключей развертывания до мультиподписей администраторов — для опустошения протоколов. Только в 2024 году несколько крупных взломов следовали той же схеме: один утекший ключ давал атакующему возможность выпускать, выводить или приостанавливать контракты.
Проблема носит структурный характер. Протоколы DeFi часто полагаются на горстку привилегированных ключей для управления обновлениями и экстренными функциями. Если эти ключи хранятся на горячих кошельках, ноутбуках разработчиков или в облачной инфраструктуре без надежной защиты, они становятся единой точкой отказа.
Фирмы по безопасности давно рекомендуют использовать аппаратное подписание, многосторонние вычисления и временные блокировки (timelocks) для снижения риска. Но многие протоколы по-прежнему работают с ключами, которые находятся в одном фишинговом письме или одном скомпрометированном устройстве от кражи.
Ограниченная прибыль атакующего на StakeDAO может служить слабым утешением. Более широкий вопрос — как сделать управление привилегированными ключами пуленепробиваемым — остается без ответа. Пока индустрия не найдет масштабируемого решения, следующий скомпрометированный ключ развертывания может принести гораздо более крупную добычу.
