StakeDAO-Exploit schafft 5,4 Billionen vsdCRV, bringt aber nur 91.000 US-Dollar ein
Ein Angreifer hat mehr als 5,4 Billionen vsdCRV auf Arbitrum geprägt, nachdem er mutmaßlich einen mit StakeDAO verknüpften Deployer-Schlüssel kompromittiert hatte, obwohl die geringe Liquidität den realisierten Erlös auf etwa 91.000 US-Dollar begrenzte.
Das Blockchain-Sicherheitsunternehmen PeckShield sagte am Mittwoch, der Angreifer habe einen Teil des geprägten vsdCRV gegen 43,7 Ether (ETH) im Wert von etwa 91.000 US-Dollar getauscht und die Gelder an Ethereum überwiesen. Der Onchain-Analyst EmberCN sagte, der Angreifer habe etwa 16,83 Millionen vsdCRV getauscht, während die verbleibenden Token nur über wenig nennenswerte Liquidität verfügten, um sie zu verlassen.
EmberCN schätzte die 5,4 Billionen vsdCRV auf dem Papier auf etwa 763 Milliarden US-Dollar, obwohl die Zahl nicht den realisierten Gewinn des Angreifers oder den bestätigten Verlust des Protokolls darstellt.
Der Vorfall verdeutlicht die Kluft zwischen dem nominalen Token-Wert und dem extrahierbaren Wert bei dezentralen Finanz-Exploits, bei denen Angreifer enorme Token-Beträge prägen, aber nur das auszahlen können, was die verfügbare Liquidität zulässt. In diesem Fall waren die Einnahmen des Angreifers durch die geringe Größe der vsdCRV-Liquiditätspools begrenzt.
StakeDAO sagte, es sei sich des Vorfalls bewusst und warnte seine Benutzer davor, mit vsdCRV zu interagieren.
Stake DAO sagte, es sei sich des Vorfalls bewusst. Quelle: Stake DAO
Der Vorfall deutet auf eine Kompromittierung des Bereitstellungsschlüssels hin
Shalev Keren, Chief Product Officer und Mitbegründer des Krypto-Schlüsselverwaltungsunternehmens Sodot, sagte gegenüber Cointelegraph, dass der StakeDAO-Vorfall „strukturell ähnlich“ zu anderen Kompromittierungen von Bereitstellungsschlüsseln in diesem Jahr sei, einschließlich des Wasabi-Vorfalls im letzten Monat, der etwa 5,5 Millionen US-Dollar an Kryptowährungen verschwendete.
Keren sagte, dass ein einzelner StakeDAO-Bereitstellungsschlüssel auf Arbitrum verwendet wurde, um die Konfiguration der vsdCRV-Cross-Chain-Brücke auf einen vom Angreifer kontrollierten Vertrag auf Ethereum umzustellen. Ungefähr 25 Sekunden später schickte dieser Vertrag eine LayerZero-Nachricht zurück an Arbitrum, was dazu führte, dass der legitime Arbitrum-Token mehr als 5 Billionen vsdCRV an den Angreifer prägte.
„Hier gibt es keinen Smart-Contract-Fehler und keinen Fehler in LayerZero“, sagte Keren. „Es gibt einen privaten Schlüssel, der eine privilegierte Konfigurationsfunktion steuert, ohne Mehrfachsignatur und ohne Verzögerung zwischen der Durchführung der Konfigurationsänderung und der Mint-Clearing-Onchain.“
Keren sagte, die umfassendere Frage für DeFi-Protokolle im Jahr 2026 bestehe nicht mehr nur darin, ob Verträge geprüft werden, sondern auch darin, ob die operativen Schlüssel hinter diesen Verträgen weiterhin Single Points of Failure seien.