L'exploit StakeDAO crée 5,4 billions de vsdCRV mais ne rapporte que 91 000 $

Un attaquant a créé plus de 5,4 billions de vsdCRV sur Arbitrum après une compromission présumée d'une clé de déploiement liée à StakeDAO, bien que la faible liquidité ait limité le produit réalisé à environ 91 000 $.

La société de sécurité blockchain PeckShield a déclaré mercredi que l'attaquant avait échangé une partie du vsdCRV créé contre 43,7 Ether (ETH), d'une valeur d'environ 91 000 $, et avait transféré les fonds vers Ethereum. L'analyste d'Onchain, EmberCN, a déclaré que l'attaquant avait échangé environ 16,83 millions de vsdCRV, tandis que les jetons restants disposaient de peu de liquidités significatives pour sortir.

EmberCN a estimé les 5 400 milliards de vsdCRV à environ 763 milliards de dollars sur papier, bien que ce chiffre ne représente pas le bénéfice réalisé par l’attaquant ni la perte confirmée du protocole.

L'incident met en évidence l'écart entre les valeurs nominales des jetons et la valeur extractible dans les exploits financiers décentralisés, où les attaquants peuvent frapper d'énormes quantités de jetons mais n'encaisser que ce que permet la liquidité disponible. Dans ce cas, les revenus de l’attaquant étaient limités par la petite taille des pools de liquidité vsdCRV.

StakeDAO a déclaré qu'il était au courant de l'incident et a averti ses utilisateurs de ne pas interagir avec vsdCRV.

Stake DAO a déclaré qu'il était au courant de l'incident. Source : Pieu DAO

L'incident indique une compromission de la clé du déployeur

Shalev Keren, directeur des produits et co-fondateur de la société de gestion de clés cryptographiques Sodot, a déclaré à Cointelegraph que l'incident de StakeDAO était « structurellement similaire » à d'autres compromissions de clés de déploiement observées cette année, y compris l'incident Wasabi le mois dernier, qui a coûté environ 5,5 millions de dollars en crypto.

Keren a déclaré qu'une seule clé de déploiement StakeDAO sur Arbitrum avait été utilisée pour rediriger la configuration du pont inter-chaînes vsdCRV vers un contrat contrôlé par l'attaquant sur Ethereum. Environ 25 secondes plus tard, ce contrat a renvoyé un message LayerZero à Arbitrum, ce qui a amené le jeton Arbitrum légitime à générer plus de 5 000 milliards de vsdCRV à l'attaquant.

"Il n'y a pas de bug de contrat intelligent ici ni de défaut dans LayerZero", a déclaré Keren. "Il existe une clé privée, contrôlant une fonction de configuration privilégiée, sans signature multiple et sans délai entre le changement de configuration et la compensation en chaîne."

Keren a déclaré que le problème plus large des protocoles DeFi en 2026 n'est plus seulement de savoir si les contrats seront audités, mais aussi de savoir si les clés opérationnelles derrière ces contrats restent des points de défaillance uniques.