Зловмисник використав скомпрометований ключ розгортання на StakeDAO для карбування 5,4 трильйона токенів vsdCRV у мережі Arbitrum — але низька ліквідність означала, що виручка склала лише $91 000. Цей інцидент, що стався нещодавно, є останнім у серії DeFi-зламів, де викрадені приватні ключі надали зловмисникам майже повний контроль.
Експлойт: один ключ, масове карбування
Зловмисник отримав доступ до ключа розгортання — приватного ключа з підвищеними привілеями в системі смарт-контрактів StakeDAO. Використовуючи цей ключ, він авторизував карбування 5,4 трильйона токенів vsdCRV, токена, схожого на стейблкоїн, прив'язаного до CRV від Curve DAO. На папері викарбувана кількість була астрономічною. На практиці обернути цей потік токенів на реальні кошти виявилося майже неможливим.
StakeDAO — це протокол оптимізації прибутковості, побудований на Curve Finance. Токен vsdCRV представляє стейковану позицію в пулах ліквідності Curve. Викарбувавши трильйони токенів, зловмисник фактично створив гору токенів, які не мали природних покупців.
Чому зловмисник отримав лише дріб'язок
Ліквідність для vsdCRV на Arbitrum є низькою. Коли зловмисник спробував обміняти навіть частину викарбуваних токенів на більш ліквідні активи, такі як USDC або ETH, ціна різко впала. Загальний реалізований прибуток — сума, яку зловмисник фактично зумів вивести, — склав лише $91 000 до того, як ринок переоцінився або експлойт був виявлений.
Ця крихітна здобич відносно масштабу карбування висвітлює вразливість, яка має дві сторони: низька ліквідність захищає протоколи від масових миттєвих витоків, але також означає, що легітимні користувачі стикаються з прослизанням та обмеженими можливостями виходу.
StakeDAO не розголосив публічно, чи було повернуто вкрадені $91 000, або чи планує протокол компенсувати постраждалим користувачам. Скомпрометований ключ розгортання було відкликано, повідомила компанія в короткій заяві, але деталі того, як ключ було спочатку скомпрометовано, залишаються нез'ясованими.
Скомпрометовані ключі: повторювана проблема DeFi
Це не поодинокий випадок. В усій екосистемі DeFi зловмисники неодноразово використовували скомпрометовані приватні ключі — від ключів розгортання до адміністративних мультипідписів — для виведення коштів з протоколів. Лише у 2024 році кілька великих зламів відбулися за однаковим шаблоном: один витік ключа надав зловмиснику можливість карбувати токени, виводити кошти або призупиняти контракти.
Проблема є структурною. Протоколи DeFi часто покладаються на кілька привілейованих ключів для керування оновленнями та екстреними функціями. Якщо ці ключі зберігаються на гарячих гаманцях, ноутбуках розробників або в хмарній інфраструктурі без надійного захисту, вони стають єдиною точкою відмови.
Фірми з безпеки давно рекомендують апаратне підписання, багатосторонні обчислення та таймлоки для зниження ризику. Але багато протоколів все ще працюють із ключами, які знаходяться за один фішинговий лист або один скомпрометований пристрій від крадіжки.
Обмежений прибуток атакуючого StakeDAO може дати слабку втіху. Ширше питання — як зробити управління привілейованими ключами невразливим — залишається без відповіді. Поки індустрія не знайде масштабованого рішення, наступний скомпрометований ключ розгортання може принести набагато більший прибуток.
