coin-img-ETHETH-1.55%coin-img-BTCBTC-1.98%coin-img-HYPEHYPE-4.48%coin-img-SOLSOL-0.72%coin-img-XRPXRP-0.78%coin-img-USDCUSDC+0.04%coin-img-TRXTRX-1.25%coin-img-NEARNEAR-8.57%coin-img-ETHETH-1.55%coin-img-BTCBTC-1.98%coin-img-HYPEHYPE-4.48%coin-img-SOLSOL-0.72%coin-img-XRPXRP-0.78%coin-img-USDCUSDC+0.04%coin-img-TRXTRX-1.25%coin-img-NEARNEAR-8.57%coin-img-ETHETH-1.55%coin-img-BTCBTC-1.98%coin-img-HYPEHYPE-4.48%coin-img-SOLSOL-0.72%coin-img-XRPXRP-0.78%coin-img-USDCUSDC+0.04%coin-img-TRXTRX-1.25%coin-img-NEARNEAR-8.57%coin-img-ETHETH-1.55%coin-img-BTCBTC-1.98%coin-img-HYPEHYPE-4.48%coin-img-SOLSOL-0.72%coin-img-XRPXRP-0.78%coin-img-USDCUSDC+0.04%coin-img-TRXTRX-1.25%coin-img-NEARNEAR-8.57%

El ataque a Stake DAO expone el peligro de depender de una sola clave en la seguridad DeFi

El exploit sufrido por Stake DAO el miércoles comprometió la clave de despliegue del protocolo en Arbitrum. El atacante acuñó alrededor de 5,4 billones de tokens falsos VoteBoosted sdCRV (vsdCRV) y, a continuación, los canjeó por ether a través de un router público. La intrusión esquivó todos los controles de smart contracts vigentes. En 2026, una única clave privada con privilegios elevados ya ha estado detrás de pérdidas de cientos de millones en DeFi. Cómo se produjo el exploit Alertas on-chain de Blockaid vincularon el incidente a una wallet de despliegue de Stake DAO. Con esa clave, el atacante restableció el "peer" del bridge LayerZero v2 para vsdCRV. Blockaid informó de un exploit en curso contra @StakeDAOHQ en Arbitrum: el atacante acababa de acuñar más de 5,4 billones de vsdCRV y los estaba intercambiando activamente por ETH. (Blockaid (@blockaid_) 27 de mayo de 2026). Unos 25 segundos después, un mensaje crosschain falsificado acuñó 5,4 billones de vsdCRV en Arbitrum. El atacante liquidó los tokens por ether mediante el router público de MetaMask. No se detectó un fallo en los smart contracts. El caso recuerda al exploit reciente de LayerZero en KelpDAO, donde se abusó de una configuración de peers similar. Un patrón repetido: claves comprometidas El incidente de Stake DAO replica el esquema del drenaje de Wasabi Protocol en abril. Una wallet de despliegue comprometida extrajo cerca de 4,5 millones de dólares de bóvedas en cuatro cadenas. Ese mismo mes, Drift Protocol perdió 285 millones de dólares en Solana. La congelación de KelpDAO en Arbitrum llegó tras un exploit del bridge de 292 millones de dólares semanas después. Todos los protocolos habían superado auditorías. El problema no estaba en el código, sino por encima: en las claves capaces de fijar peers del bridge o ejecutar actualizaciones de implementaciones. El mint de 80 millones de dólares en Resolv a comienzos de año encajó en el mismo patrón. "La pregunta que DeFi debe responder en 2026 ya no es si los protocolos se auditan, porque casi todos lo hacen. Es si el pequeño conjunto de claves operativas que hay detrás de esos contratos auditados... sigue pudiendo existir como un único objeto en un único portátil", dijo a BeInCrypto Shalev Keren, cofundador de Sodot, subrayando que las auditorías ya no resuelven la cuestión central. Para Stake DAO y proyectos similares, la protección mediante wallets multisig debe interponerse entre las claves de despliegue y la posibilidad de acuñaciones fraudulentas. De lo contrario, el próximo compromiso en DeFi volverá a apuntar a un solo portátil, no a un código defectuoso.
Seleccionado
ARB
ARB-0.63%
ETH
ETH-1.26%
Descargo de responsabilidad: El contenido anterior es solo la opinión del autor y no representa la postura de BingX. No debe interpretarse como un consejo de inversión por parte de BingX. Para obtener más información, consulta los Términos y condiciones.