Një sulmues shfrytëzoi një çelës të komprometuar të vendosjes (deployer key) në StakeDAO për të krijuar 5.4 trilion tokena vsdCRV në rrjetin Arbitrum – por likuiditeti i hollë bëri që plaçka të vlente vetëm 91,000 dollarë. Incidenti, i cili ndodhi kohët e fundit, është më i fundit në një varg hakimesh të DeFi-ut ku çelësat privatë të vjedhura u dhanë sulmuesve kontroll pothuajse total.
Shfrytëzimi: një çelës i vetëm, një prerje masive
Sulmuesi fitoi akses në një çelës të vendosjes – një çelës privat me privilegje të ngritura brenda sistemit të kontratave inteligjente të StakeDAO. Duke përdorur atë çelës, ata autorizuan krijimin e 5.4 trilion tokenave vsdCRV, një token i ngjashëm me monedhën e qëndrueshme të lidhur me CRV të Curve DAO-së. Në letër, shuma e krijuar ishte astronomike. Në praktikë, realizimi i parave nga ajo rrëmujë tokenash doli të ishte pothuajse i pamundur.
StakeDAO është një protokoll optimizimi të yield-it i ndërtuar mbi Curve Finance. Tokeni vsdCRV përfaqëson një pozicion të depozituar në pishinat e likuiditetit të Curve-së. Duke krijuar triliona të tij, sulmuesi krijoi efektivisht një mal tokenash pa blerës natyralë.
Pse sulmuesi u largua me para xhepi
Likuiditeti për vsdCRV në Arbitrum është i cekët. Kur sulmuesi u përpoq të shkëmbente edhe një pjesë të tokenave të krijuara në asete më likuide si USDC ose ETH, çmimi ra në fund. Fitimi total i realizuar – shuma që sulmuesi arriti të nxirrte – arriti në vetëm 91,000 dollarë përpara se tregu të rishiqohej ose shfrytëzimi të zbulohej.
Kjo plaçkë e vogël në krahasim me madhësinë e prerjes nxjerr në pah një dobësi që funksionon në të dy drejtimet: likuiditeti i ulët mbron protokollet nga tërheqjet masive të menjëhershme, por gjithashtu do të thotë se përdoruesit legjitimë përballen me rrëshqitje dhe mundësi të kufizuara daljeje.
StakeDAO nuk ka bërë të ditur publikisht nëse 91,000 dollarët e vjedhura u rikuperuan apo nëse protokolli planifikon të kompensojë përdoruesit e prekur. Çelësi i komprometuar i vendosjes është revokuar, tha kompania në një deklaratë të shkurtër, por detajet se si u komprometua fillimisht çelësi mbeten të paqarta.
Çelësat e komprometuar: një dhimbje koke e përsëritur e DeFi-ut
Ky nuk është një rast i izoluar. Në të gjithë ekosistemin DeFi, sulmuesit kanë shfrytëzuar në mënyrë të përsëritur çelësat privatë të komprometuar – nga çelësat e vendosjes deri te multisig-et e administratorëve – për të zbrazur protokollet. Vetëm në vitin 2024, disa hakime të mëdha ndoqën të njëjtin model: një çelës i vetëm i rrjedhur i dha një sulmuesi fuqinë për të krijuar, tërhequr ose pezulluar kontrata.
Problemi është strukturor. Protokollet DeFi shpesh mbështeten në një grusht çelësash të privilegjuar për të menaxhuar përmirësimet dhe funksionet emergjente. Nëse ato çelësa jetojnë në kuleta të nxehta, laptopë të zhvilluesve ose infrastrukturë cloud pa siguri të fortë, ato bëhen një pikë e vetme dështimi.
Firmat e sigurisë prej kohësh rekomandojnë nënshkrimin e bazuar në hardware, llogaritjen me shumë palë dhe bllokimet kohore për të zvogëluar rrezikun. Por shumë protokolle ende operojnë me çelësa që janë një email phishing ose një pajisje të komprometuar larg nga vjedhja.
Fitimi i kufizuar i sulmuesit të StakeDAO mund të ofrojë një ngushëllim të dobët. Pyetja më e gjerë – si ta bëjmë menaxhimin e çelësave të privilegjuar të papërshkueshëm nga plumbi – mbetet pa përgjigje. Derisa industria të gjejë një zgjidhje të shkallëzueshme, çelësi tjetër i komprometuar i vendosjes mund të sjellë një ditë pagese shumë më të madhe.
