Một kẻ tấn công đã khai thác khóa triển khai bị xâm phạm trên StakeDAO để đúc 5,4 nghìn tỷ token vsdCRV trên mạng Arbitrum — nhưng thanh khoản mỏng khiến số tiền thu được chỉ vỏn vẹn 91.000 đô la. Sự việc xảy ra gần đây là một trong chuỗi vụ hack DeFi, nơi các khóa riêng tư bị đánh cắp cho phép kẻ tấn công gần như kiểm soát hoàn toàn.
Vụ khai thác: một khóa duy nhất, một lượng đúc khổng lồ
Kẻ tấn công đã giành quyền truy cập vào khóa triển khai — một khóa riêng tư có đặc quyền cao trong hệ thống hợp đồng thông minh của StakeDAO. Sử dụng khóa đó, chúng đã ủy quyền đúc 5,4 nghìn tỷ token vsdCRV, một token giống stablecoin neo theo CRV của Curve DAO. Trên lý thuyết, số lượng đúc là khổng lồ. Trên thực tế, việc rút tiền từ lượng token đó gần như bất khả thi.
StakeDAO là một giao thức tối ưu hóa lợi nhuận được xây dựng trên Curve Finance. Token vsdCRV đại diện cho vị thế đã stake trong các pool thanh khoản của Curve. Bằng cách đúc hàng nghìn tỷ token, kẻ tấn công đã tạo ra một núi token không có người mua tự nhiên.
Tại sao kẻ tấn công chỉ mang về số tiền nhỏ
Thanh khoản cho vsdCRV trên Arbitrum rất thấp. Khi kẻ tấn công cố gắng hoán đổi dù chỉ một phần nhỏ số token đã đúc sang các tài sản có thanh khoản cao hơn như USDC hay ETH, giá đã lao dốc. Tổng lợi nhuận thực tế — số tiền mà kẻ tấn công thực sự rút ra được — chỉ là 91.000 đô la trước khi thị trường định giá lại hoặc vụ khai thác bị phát hiện.
Khoản thu nhỏ bé so với quy mô đúc token cho thấy một lỗ hổng hai chiều: thanh khoản thấp bảo vệ giao thức khỏi các đợt rút tiền lớn tức thì, nhưng cũng đồng nghĩa với việc người dùng hợp pháp phải đối mặt với trượt giá và các lựa chọn thoát hạn chế.
StakeDAO chưa tiết lộ công khai liệu 91.000 đô la bị đánh cắp đã được thu hồi hay giao thức có kế hoạch bồi thường cho người dùng bị ảnh hưởng hay không. Công ty cho biết trong một tuyên bố ngắn rằng khóa triển khai bị xâm phạm đã bị thu hồi, nhưng thông tin chi tiết về cách khóa bị xâm phạm ban đầu vẫn chưa rõ ràng.
Khóa bị xâm phạm: một vấn đề đau đầu tái diễn trong DeFi
Đây không phải là trường hợp cá biệt. Trên toàn hệ sinh thái DeFi, kẻ tấn công liên tục khai thác các khóa riêng tư bị xâm phạm — từ khóa triển khai đến multisig quản trị — để rút tiền từ các giao thức. Chỉ riêng trong năm 2024, một số vụ hack lớn đã theo cùng một khuôn mẫu: một khóa bị rò rỉ duy nhất cho phép kẻ tấn công đúc, rút hoặc tạm dừng hợp đồng.
Vấn đề mang tính cấu trúc. Các giao thức DeFi thường dựa vào một số ít khóa đặc quyền để quản lý nâng cấp và các chức năng khẩn cấp. Nếu những khóa đó nằm trên ví nóng, máy tính xách tay của nhà phát triển hoặc cơ sở hạ tầng đám mây mà không có bảo mật mạnh mẽ, chúng trở thành điểm lỗi duy nhất.
Các công ty bảo mật từ lâu đã khuyến nghị sử dụng ký số dựa trên phần cứng, tính toán đa bên và khóa thời gian để giảm rủi ro. Nhưng nhiều giao thức vẫn vận hành với các khóa chỉ cách một email lừa đảo hoặc một thiết bị bị xâm phạm là bị đánh cắp.
Lợi nhuận hạn chế của kẻ tấn công StakeDAO có thể là một niềm an ủi nhỏ. Câu hỏi rộng hơn — làm thế nào để quản lý khóa đặc quyền một cách bất khả xâm phạm — vẫn chưa có lời giải. Cho đến khi ngành tìm ra giải pháp có thể mở rộng, khóa triển khai bị xâm phạm tiếp theo có thể mang lại một ngày trả công lớn hơn nhiều.
