一名攻击者利用StakeDAO上被泄露的部署者密钥,在Arbitrum网络上铸造了5.4万亿枚vsdCRV代币——但浅薄的流动性意味着这次收获仅价值9.1万美元。这起近期发生的事件,是又一起被盗私钥赋予攻击者近乎完全控制权的DeFi黑客攻击。
漏洞利用:一把密钥,海量铸造
攻击者获取了一把部署者密钥——这是StakeDAO智能合约系统中拥有高权限的私钥。利用该密钥,他们授权铸造了5.4万亿枚vsdCRV代币,这是一种锚定Curve DAO的CRV代币的稳定币型代币。从账面上看,铸造数量惊人。但在实践中,要将这股代币洪流变现几乎是不可能的。
StakeDAO是一个基于Curve Finance的收益优化协议。vsdCRV代币代表在Curve流动性池中的质押头寸。通过铸造数万亿枚,攻击者实际上创造了一座没有天然买家的代币山。
为何攻击者只赚到零头
Arbitrum上vsdCRV的流动性很浅。当攻击者试图将哪怕一小部分铸造的代币兑换成更流动的资产(如USDC或ETH)时,价格暴跌。总实际收益——即攻击者成功套现的金额——仅为9.1万美元,随后市场重新定价或漏洞被发现。
相对于铸造规模而言,如此微小的收益凸显了一个双刃剑般的漏洞:低流动性保护了协议免遭大规模瞬时抽干,但这也意味着合法用户面临滑点和有限的退出选择。
StakeDAO尚未公开披露被盗的9.1万美元是否已追回,或者协议计划是否补偿受影响的用户。该公司在一份简短声明中表示,已撤销被泄露的部署者密钥,但关于密钥最初如何被泄露的细节仍不清楚。
密钥泄露:DeFi反复出现的头疼问题
这并非孤立案例。在整个DeFi生态系统中,攻击者反复利用泄露的私钥——从部署者密钥到管理员多签钱包——来抽干协议。仅2024年,就有多起重大黑客攻击遵循了相同模式:一把泄露的密钥让攻击者能够铸造、提取或暂停合约。
问题在于结构层面。DeFi协议通常依赖少数特权密钥来管理升级和紧急功能。如果这些密钥存放在热钱包、开发者笔记本或云基础设施上而缺乏强有力的安全措施,它们就变成了单点故障。
安全公司长期以来一直推荐基于硬件的签名、多方计算和时间锁来降低风险。但许多协议仍在操作那些可能因一封钓鱼邮件或一台被入侵设备而失窃的密钥。
StakeDAO攻击者的有限利润或许能带来些许安慰。但更广泛的问题——如何让特权密钥管理坚不可摧——仍然没有答案。在该行业找到可扩展的解决方案之前,下一把被泄露的部署者密钥可能会带来大得多的收益。
