En angripare utnyttjade en komprometterad deployer-nyckel på StakeDAO för att prägla 5,4 biljoner vsdCRV-tokens på Arbitrum-nätverket – men tunn likviditet innebar att bytet var värt bara 91 000 dollar. Incidenten, som inträffade nyligen, är den senaste i en rad DeFi-hack där stulna privata nycklar gav angripare nästan total kontroll.
Exploateringen: en enda nyckel, en massiv prägling
Angriparen fick tillgång till en deployer-nyckel – en privat nyckel med förhöjda behörigheter i StakeDO:s smartkontraktssystem. Med hjälp av den nyckeln auktoriserade de prägling av 5,4 biljoner vsdCRV-tokens, en stablecoin-liknande token knuten till Curve DAO:s CRV. På papperet var det präglade beloppet astronomiskt. I praktiken visade det sig nästan omöjligt att lösa in den strömmen av tokens.
StakeDAO är ett avkastningsoptimeringsprotokoll baserat på Curve Finance. vsdCRV-token representerar en insats i Curves likviditetspooler. Genom att prägla biljoner av den skapade angriparen i praktiken ett berg av tokens utan naturliga köpare.
Varför angriparen gick därifrån med småpengar
Likviditeten för vsdCRV på Arbitrum är tunn. När angriparen försökte byta ens en bråkdel av de präglade tokens till mer likvida tillgångar som USDC eller ETH, sjönk priset dramatiskt. Den totala realiserade vinsten – det belopp som angriparen faktiskt lyckades ta ut – uppgick till bara 91 000 dollar innan marknaden prisjusterades eller exploateringen upptäcktes.
Den minimala vinsten i förhållande till präglingens storlek belyser en sårbarhet som är ett tveeggat svärd: låg likviditet skyddar protokoll från massiva omedelbara uttag, men det innebär också att legitima användare drabbas av glidning (slippage) och begränsade utträdesmöjligheter.
StakeDAO har inte offentligt meddelat om de stulna 91 000 dollarna har återfåtts eller om protokollet planerar att kompensera drabbade användare. Den komprometterade deployer-nyckeln har återkallats, uppgav företaget i ett kort uttalande, men detaljer om hur nyckeln initialt äventyrades är fortfarande oklara.
Komprometterade nycklar: ett återkommande DeFi-huvudvärk
Detta är inget isolerat fall. Inom DeFi-ekosystemet har angripare upprepade gånger utnyttjat komprometterade privata nycklar – från deployer-nycklar till admin-multisignaturer – för att tömma protokoll. Enbart under 2024 följde flera större hack samma mönster: en enda läckt nyckel gav en angripare makten att prägla, ta ut eller pausa kontrakt.
Problemet är strukturellt. DeFi-protokoll förlitar sig ofta på en handfull privilegierade nycklar för att hantera uppgraderingar och nödfunktioner. Om dessa nycklar finns på hot wallets, utvecklarnas laptops eller molninfrastruktur utan robust säkerhet, blir de en enda felpunkt.
Säkerhetsföretag har länge rekommenderat hårdvarubaserad signering, flerpartiberäkning (multi-party computation) och tidslås för att minska risken. Men många protokoll arbetar fortfarande med nycklar som bara är ett nätfiskemejl eller en komprometterad enhet från att bli stulna.
StakeDAO-angriparens begränsade vinst kan vara klen tröst. Den bredare frågan – hur man gör privilegierad nyckelhantering helt säker – är fortfarande obesvarad. Tills branschen hittar en skalbar lösning kan nästa komprometterade deployer-nyckel ge en betydligt större utdelning.
