Bir saldırgan, StakeDAO'da ele geçirilmiş bir dağıtıcı anahtarı kullanarak Arbitrum ağında 5,4 trilyon vsdCRV token bastı — ancak düşük likidite nedeniyle elde edilen kazanç yalnızca 91.000 dolar oldu. Kısa süre önce yaşanan bu olay, çalınan özel anahtarların saldırganlara neredeyse tam kontrol sağladığı bir dizi DeFi saldırısının sonuncusu.
Saldırı: Tek bir anahtar, devasa bir basım
Saldırgan, StakeDAO'un akıllı sözleşme sisteminde yüksek ayrıcalıklara sahip bir özel anahtar olan dağıtıcı anahtarına erişti. Bu anahtarı kullanarak, Curve DAO'nun CRV'sine sabitlenmiş, stablecoin benzeri bir token olan 5,4 trilyon vsdCRV token basılmasını yetkilendirdi. Kağıt üzerinde basılan miktar astronomikti. Ancak pratikte, bu token selini nakde çevirmek neredeyse imkansızdı.
StakeDAO, Curve Finance üzerine inşa edilmiş bir getiri optimizasyon protokolüdür. vsdCRV tokenı, Curve'in likidite havuzlarında stake edilmiş bir pozisyonu temsil eder. Saldırgan trilyonlarca token basarak, doğal alıcısı olmayan bir token dağı yarattı.
Saldırgan neden cüzi bir miktarla ayrıldı?
Arbitrum'daki vsdCRV likiditesi oldukça düşüktür. Saldırgan, basılan tokenların küçük bir kısmını bile USDC veya ETH gibi daha likit varlıklara dönüştürmeye çalıştığında fiyat sert bir şekilde düştü. Piyasa yeniden fiyatlanmadan veya saldırı tespit edilmeden önce saldırganın gerçekleştirdiği toplam kazanç — fiilen çekebildiği miktar — yalnızca 91.000 dolar oldu.
Basım boyutuna kıyasla bu küçük kazanç, iki yönlü bir kırılganlığı ortaya koyuyor: Düşük likidite, protokolleri anlık büyük çaplı çekilmelerden korurken, aynı zamanda meşru kullanıcıların kayma ve sınırlı çıkış seçenekleriyle karşılaşmasına neden oluyor.
StakeDAO, çalınan 91.000 doların geri kazanılıp kazanılmadığını veya protokolün etkilenen kullanıcıları tazmin etmeyi planlayıp planlamadığını kamuoyuna açıklamadı. Şirket kısa bir açıklamada, ele geçirilen dağıtıcı anahtarın iptal edildiğini duyurdu, ancak anahtarın başlangıçta nasıl ele geçirildiğine dair ayrıntılar belirsizliğini koruyor.
Ele geçirilen anahtarlar: Tekrarlayan bir DeFi sorunu
Bu, izole bir vaka değil. DeFi ekosisteminde saldırganlar, dağıtıcı anahtarlarından yönetici çoklu-imzalarına kadar ele geçirilmiş özel anahtarları defalarca kullanarak protokolleri boşalttı. Yalnızca 2024'te birçok büyük saldırı aynı modeli izledi: Sızdırılmış tek bir anahtar, saldırgana token basma, çekme veya sözleşmeleri durdurma gücü verdi.
Sorun yapısaldır. DeFi protokolleri genellikle yükseltmeleri yönetmek ve acil durum işlevlerini yerine getirmek için bir avuç ayrıcalıklı anahtara güvenir. Bu anahtarlar sıcak cüzdanlarda, geliştirici dizüstü bilgisayarlarında veya bulut altyapısında güvenlik önlemleri olmaksızın tutuluyorsa, tek bir hata noktası haline gelirler.
Güvenlik firmaları uzun süredir riski azaltmak için donanım tabanlı imzalama, çok taraflı hesaplama ve zaman kilitleri önermektedir. Ancak birçok protokol hâlâ bir kimlik avı e-postası veya ele geçirilmiş bir cihazdan çalınabilecek anahtarlarla çalışmaktadır.
StakeDAO saldırganının sınırlı karı, soğuk bir teselli olabilir. Daha geniş soru — ayrıcalıklı anahtar yönetimini nasıl kurşun geçirmez hale getireceğiz — hala yanıt bekliyor. Sektör ölçeklenebilir bir çözüm bulana kadar, bir sonraki ele geçirilmiş dağıtıcı anahtarı çok daha büyük bir kazanca yol açabilir.
