coin-img-ETHETH-1.26%coin-img-BTCBTC-1.73%coin-img-HYPEHYPE-4.11%coin-img-SOLSOL-0.49%coin-img-XRPXRP-0.59%coin-img-USDCUSDC+0.05%coin-img-TRXTRX-1.17%coin-img-NEARNEAR-8.82%coin-img-ETHETH-1.26%coin-img-BTCBTC-1.73%coin-img-HYPEHYPE-4.11%coin-img-SOLSOL-0.49%coin-img-XRPXRP-0.59%coin-img-USDCUSDC+0.05%coin-img-TRXTRX-1.17%coin-img-NEARNEAR-8.82%coin-img-ETHETH-1.26%coin-img-BTCBTC-1.73%coin-img-HYPEHYPE-4.11%coin-img-SOLSOL-0.49%coin-img-XRPXRP-0.59%coin-img-USDCUSDC+0.05%coin-img-TRXTRX-1.17%coin-img-NEARNEAR-8.82%coin-img-ETHETH-1.26%coin-img-BTCBTC-1.73%coin-img-HYPEHYPE-4.11%coin-img-SOLSOL-0.49%coin-img-XRPXRP-0.59%coin-img-USDCUSDC+0.05%coin-img-TRXTRX-1.17%coin-img-NEARNEAR-8.82%

Эксплойт Stake DAO показал уязвимость DeFi из-за защиты "одним ключом"

В среду эксплойт Stake DAO привел к компрометации ключа деплойера протокола в сети Arbitrum. Злоумышленник выпустил около 5,4 трлн поддельных токенов VoteBoosted sdCRV (vsdCRV), после чего обменял их на эфир через публичный роутер. Атака обошла все предусмотренные смартконтрактами ограничения. Как произошел взлом Stake DAO Согласно ончейн-оповещениям Blockaid, инцидент был связан с кошельком деплойера Stake DAO. Получив доступ к ключу, атакующий изменил настройки моста LayerZero v2, сбросив peer-параметры для vsdCRV. Примерно через 25 секунд поддельное кроссчейн-сообщение инициировало выпуск 5 трлн vsdCRV в Arbitrum. Затем токены были распроданы за ETH через публичный роутер MetaMask. Признаков уязвимости в смартконтрактах не выявлено. В Blockaid отметили, что недавний инцидент в KelpDAO также был связан со схожим злоупотреблением конфигурацией peer в LayerZero. Повторяющийся сценарий компрометации ключей Случай со Stake DAO вписывается в типовой шаблон атак, подобных апрельскому дрену Wasabi Protocol: компрометированный кошелек деплойера позволил вывести около $4,5 млн из хранилищ в четырех сетях. В тот же месяц Drift Protocol потерял $285 млн в Solana. Заморозка KelpDAO в Arbitrum последовала после мостового эксплойта на $292 млн несколькими неделями позже. Все эти протоколы проходили аудиты. Проблема оказалась выше уровня кода: критичные операционные ключи, которые определяют bridge peers или параметры обновления реализаций. Ранее в этом году выпуск на $80 млн в Resolv развивался по той же модели. "Вопрос, на который DeFi должен ответить в 2026 году, уже не в том, проходят ли протоколы аудит — почти все его проходят. Вопрос в том, допускается ли, чтобы небольшой набор операционных ключей за этими проверенными контрактами… продолжал существовать как единый объект на одном ноутбуке", — заявил BeInCrypto сооснователь Sodot Шалев Керен, подчеркнув, что аудит больше не закрывает ключевую проблему. Для Stake DAO и аналогичных проектов защита на базе multisig должна находиться между ключами деплойера и возможностью выпускать токены по поддельным сообщениям. Иначе следующий крупный инцидент в DeFi снова будет связан не с "плохим кодом", а с одним скомпрометированным устройством.
Выбрано
ARB
ARB-0.81%
ETH
ETH-1.43%
Отказ от ответственности: приведенный выше контент является лишь мнением автора и не отражает позицию BingX. Он не должен рассматриваться как инвестиционный совет от BingX. Для получения более подробной информации ознакомьтесь с Условиями и положениями.