ผู้โจมตีใช้ประโยชน์จากคีย์ deployer ที่ถูกบุกรุกบน StakeDAO เพื่อสร้างโทเค็น vsdCRV จำนวน 5.4 ล้านล้านโทเค็นบนเครือข่าย Arbitrum — แต่สภาพคล่องที่บางเบาทำให้มูลค่าที่ได้มีเพียง $91,000 เหตุการณ์ที่เกิดขึ้นล่าสุดนี้เป็นหนึ่งในแฮ็ก DeFi หลายครั้งที่คีย์ส่วนตัวที่ถูกขโมยทำให้ผู้โจมตีสามารถควบคุมได้เกือบทั้งหมด
การโจมตี: คีย์เดียว สร้างเหรียญมหาศาล
ผู้โจมตีสามารถเข้าถึงคีย์ deployer ซึ่งเป็นคีย์ส่วนตัวที่มีสิทธิพิเศษสูงในระบบสัญญาอัจฉริยะของ StakeDAO โดยใช้คีย์นั้น พวกเขาอนุมัติการสร้างโทเค็น vsdCRV จำนวน 5.4 ล้านล้านโทเค็น ซึ่งเป็นโทเค็นที่เหมือน stablecoin ที่ผูกกับ CRV ของ Curve DAO ในทางทฤษฎี จำนวนที่สร้างขึ้นนั้นมหาศาล แต่ในทางปฏิบัติ การถอนโทเค็นจำนวนมหาศาลนั้นแทบเป็นไปไม่ได้
StakeDAO เป็นโปรโตคอลเพิ่มผลตอบแทนที่สร้างบน Curve Finance โทเค็น vsdCRV แสดงถึงสถานะที่ถูก stake ในกลุ่มสภาพคล่องของ Curve โดยการสร้างโทเค็นเป็นล้านล้าน ผู้โจมตีได้สร้างกองโทเค็นที่ไม่มีผู้ซื้อตามธรรมชาติ
ทำไมผู้โจมตีจึงได้เงินเพียงเล็กน้อย
สภาพคล่องของ vsdCRV บน Arbitrum น้อยมาก เมื่อผู้โจมตีพยายามแลกเปลี่ยนแม้เพียงเศษส่วนของโทเค็นที่สร้างขึ้นเป็นสินทรัพย์ที่มีสภาพคล่องมากขึ้น เช่น USDC หรือ ETH ราคาก็ร่วงลงอย่างรุนแรง กำไรที่เกิดขึ้นจริง — จำนวนที่ผู้โจมตีสามารถถอนออกมาได้จริง — มีเพียง $91,000 ก่อนที่ตลาดจะปรับราคาใหม่หรือตรวจพบการโจมตี
มูลค่าเพียงเล็กน้อยเมื่อเทียบกับขนาดของการสร้างโทเค็นนี้ชี้ให้เห็นถึงช่องโหว่ที่มีสองด้าน: สภาพคล่องต่ำช่วยป้องกันโปรโตคอลจากการถูกถอนเงินจำนวนมากในทันที แต่ก็หมายความว่าผู้ใช้ที่ถูกต้องจะเผชิญกับ slippage และตัวเลือกในการออกที่จำกัด
StakeDAO ยังไม่ได้เปิดเผยต่อสาธารณะว่าเงิน $91,000 ที่ถูกขโมยได้รับการกู้คืนหรือไม่ หรือโปรโตคอลมีแผนจะชดเชยผู้ใช้ที่ได้รับผลกระทบหรือไม่ คีย์ deployer ที่ถูกบุกรุกได้ถูกเพิกถอนแล้ว บริษัทกล่าวในแถลงการณ์สั้นๆ แต่รายละเอียดว่าคีย์ถูกบุกรุกในตอนแรกอย่างไรยังคงไม่ชัดเจน
คีย์ที่ถูกบุกรุก: ปัญหาเรื้อรังของ DeFi
นี่ไม่ใช่กรณีที่โดดเดี่ยว ทั่วทั้งระบบนิเวศ DeFi ผู้โจมตีได้ใช้ประโยชน์จากคีย์ส่วนตัวที่ถูกบุกรุกซ้ำแล้วซ้ำเล่า ตั้งแต่คีย์ deployer ไปจนถึง multisig ของผู้ดูแลระบบ เพื่อถอนเงินจากโปรโตคอล ในปี 2024 เพียงปีเดียว แฮ็กรายใหญ่หลายครั้งเป็นไปตามรูปแบบเดียวกัน: คีย์เดียวที่รั่วไหลทำให้ผู้โจมตีมีอำนาจในการสร้าง ถอน หรือหยุดสัญญาชั่วคราว
ปัญหาเป็นเชิงโครงสร้าง โปรโตคอล DeFi มักพึ่งพาคีย์ที่มีสิทธิพิเศษจำนวนไม่กี่คีย์เพื่อจัดการการอัปเกรดและฟังก์ชันฉุกเฉิน หากคีย์เหล่านั้นอยู่บน hot wallet, แล็ปท็อปของนักพัฒนา หรือโครงสร้างพื้นฐานคลาวด์โดยไม่มีการรักษาความปลอดภัยที่แข็งแกร่ง พวกมันก็จะกลายเป็นจุดล้มเหลวจุดเดียว
บริษัทรักษาความปลอดภัยแนะนำมานานแล้วให้ใช้การลงนามบนฮาร์ดแวร์ การคำนวณแบบหลายฝ่าย และ timelocks เพื่อลดความเสี่ยง แต่โปรโตคอลจำนวนมากยังคงดำเนินการด้วยคีย์ที่ห่างจากถูกขโมยเพียงอีเมลฟิชชิ่งหนึ่งฉบับหรืออุปกรณ์ที่ถูกบุกรุกหนึ่งเครื่อง
กำไรที่จำกัดของผู้โจมตี StakeDAO อาจให้ความปลอบใจเพียงเล็กน้อย คำถามที่กว้างกว่า — วิธีการทำให้การจัดการคีย์ที่มีสิทธิพิเศษไร้ที่ติ — ยังคงไม่มีคำตอบ จนกว่าอุตสาหกรรมจะพบวิธีแก้ปัญหาที่ปรับขนาดได้ คีย์ deployer ที่ถูกบุกรุกครั้งต่อไปอาจนำมาซึ่งผลตอบแทนที่ใหญ่กว่ามาก
