coin-img-ETHETH-1.44%coin-img-BTCBTC-1.90%coin-img-HYPEHYPE-4.78%coin-img-SOLSOL-0.60%coin-img-XRPXRP-0.72%coin-img-USDCUSDC+0.05%coin-img-TRXTRX-1.25%coin-img-NEARNEAR-9.10%coin-img-ETHETH-1.44%coin-img-BTCBTC-1.90%coin-img-HYPEHYPE-4.78%coin-img-SOLSOL-0.60%coin-img-XRPXRP-0.72%coin-img-USDCUSDC+0.05%coin-img-TRXTRX-1.25%coin-img-NEARNEAR-9.10%coin-img-ETHETH-1.44%coin-img-BTCBTC-1.90%coin-img-HYPEHYPE-4.78%coin-img-SOLSOL-0.60%coin-img-XRPXRP-0.72%coin-img-USDCUSDC+0.05%coin-img-TRXTRX-1.25%coin-img-NEARNEAR-9.10%coin-img-ETHETH-1.44%coin-img-BTCBTC-1.90%coin-img-HYPEHYPE-4.78%coin-img-SOLSOL-0.60%coin-img-XRPXRP-0.72%coin-img-USDCUSDC+0.05%coin-img-TRXTRX-1.25%coin-img-NEARNEAR-9.10%

Stake-DAO-Angriff zeigt: Single-Key-Sicherheit bleibt ein zentrales DeFi-Risiko

Beim Exploit gegen Stake DAO am Mittwoch wurde der Arbitrum-Deployer-Key des Protokolls kompromittiert. Der Angreifer prägte rund 5,4 Billionen gefälschte VoteBoosted sdCRV (vsdCRV) und tauschte die Token anschließend über einen öffentlichen Router in Ether. Damit wurden sämtliche vorhandenen Smart-Contract-Kontrollen umgangen. Ein einzelner Private Key mit erweiterten Rechten steht 2026 bereits hinter DeFi-Verlusten in dreistelliger Millionenhöhe. So lief der Stake-DAO-Exploit ab Onchain-Warnungen von Blockaid führten die Attacke auf eine Stake-DAO-Deployer-Wallet zurück. Mit dem erbeuteten Schlüssel setzte der Angreifer den LayerZero-v2-Bridge-Peer für vsdCRV zurück. Blockaid meldete den laufenden Angriff auf @StakeDAOHQ auf Arbitrum: Es seien bereits über 5,4 Billionen vsdCRV gemintet worden, während der Angreifer aktiv in ETH tausche. Etwa 25 Sekunden später prägte eine manipulierte Crosschain-Nachricht 5,4 Billionen vsdCRV auf Arbitrum. Der Abverkauf erfolgte über den öffentlichen Router von MetaMask. Hinweise auf eine Schwachstelle im Smart Contract selbst wurden nicht gefunden. Auffällig: Ein jüngster LayerZero-Vorfall bei KelpDAO verlief über ein ähnliches Muster, bei dem die Peer-Konfiguration missbraucht wurde. Bekanntes Muster: Kompromittierte Schlüssel statt Codefehler Der Vorfall reiht sich in die Serie ähnlicher Angriffe ein. Beim Drain von Wasabi Protocol im April zog eine kompromittierte Deployer-Wallet rund 4,5 Mio. US-Dollar aus Vaults auf vier Chains ab. Drift Protocol verlor im selben Monat 285 Mio. US-Dollar auf Solana. Bei Arbitrum folgte das Einfrieren von KelpDAO; Wochen später wurde ein Bridge-Exploit in Höhe von 292 Mio. US-Dollar bekannt. Allen Fällen gemeinsam: Die Protokolle hatten Audits bestanden. Die Schwachstelle lag oberhalb des Codes – bei Schlüsseln, die Bridge-Peers setzen oder Upgrades an Implementierungen ausrollen können. Auch Resolv's Mint in Höhe von 80 Mio. US-Dollar Anfang des Jahres passte in dieses Bild. "Die Frage, die DeFi 2026 beantworten muss, ist nicht mehr, ob Protokolle auditiert werden, denn fast alle werden es. Es ist, ob der kleine Satz operativer Schlüssel hinter diesen auditierten Contracts… weiterhin als einzelnes Objekt auf einem einzelnen Laptop existieren darf", sagte Sodot-Mitgründer Shalev Keren gegenüber BeInCrypto. Audits lieferten damit nicht mehr die Antwort auf die zentrale Risikofrage. Für Stake DAO und vergleichbare Protokolle bedeutet das: Multisig-Absicherungen müssen zwischen Deployer-Keys und potenziell manipulierten Mints liegen. Andernfalls führt der nächste große DeFi-Kompromiss erneut zu einem einzelnen Laptop – nicht zu schlechtem Code.
Ausgewählt
ARB
ARB-0.63%
ETH
ETH-1.26%
Haftungsausschluss: Die obigen Inhalte geben lediglich die Meinung des Autors wieder und spiegeln nicht die Haltung von BingX wider. Sie stellen keine Anlageberatung durch BingX dar. Details finden Sie in den Geschäftsbedingungen.