Эксплойт StakeDAO создает 5,4 триллиона vsdCRV, но приносит всего 91 тысячу долларов

Злоумышленник начеканил более 5,4 триллионов vsdCRV на Arbitrum после предполагаемого взлома ключа развертывания, связанного с StakeDAO, хотя недостаточная ликвидность ограничила реализованную выручку примерно до 91 000 долларов.

Фирма по безопасности блокчейна PeckShield заявила в среду, что злоумышленник обменял часть отчеканенного vsdCRV на 43,7 эфира (ETH) стоимостью около 91 000 долларов США и перевел средства в Ethereum. Аналитик Onchain EmberCN заявил, что злоумышленник обменял около 16,83 миллиона vsdCRV, в то время как у оставшихся токенов было мало значимой ликвидности для вывода.

EmberCN оценил 5,4 триллиона vsdCRV примерно в 763 миллиарда долларов на бумаге, хотя эта цифра не отражает реализованную прибыль злоумышленника или подтвержденные убытки протокола.

Этот инцидент подчеркивает разрыв между номинальной стоимостью токенов и извлекаемой ценностью в децентрализованных финансовых эксплойтах, когда злоумышленники могут чеканить огромные суммы токенов, но обналичивать только то, что позволяет доступная ликвидность. В данном случае доходы злоумышленника были ограничены небольшим размером пулов ликвидности vsdCRV.

StakeDAO заявила, что знает об инциденте, и предупредила своих пользователей не взаимодействовать с vsdCRV.

В Stake DAO заявили, что им известно об инциденте. Источник: Стейк ДАО

Инцидент указывает на компрометацию ключа развертывания

Шалев Керен, директор по продукту и соучредитель компании Sodot, занимающейся управлением крипто-ключами, рассказал Cointelegraph, что инцидент StakeDAO «структурно похож» на другие компрометации ключей развертывания, наблюдавшиеся в этом году, включая инцидент с Wasabi в прошлом месяце, в результате которого было потрачено около 5,5 миллионов долларов в криптовалюте.

Керен сказала, что один ключ развертывания StakeDAO на Arbitrum использовался для перенаправления конфигурации кросс-чейн моста vsdCRV на контролируемый злоумышленником контракт на Ethereum. Примерно через 25 секунд этот контракт отправил сообщение LayerZero обратно в Arbitrum, в результате чего законный токен Arbitrum отчеканил злоумышленнику более 5 триллионов vsdCRV.

«Здесь нет ошибки смарт-контракта и нет недостатков в LayerZero», — сказала Керен. «Существует один закрытый ключ, управляющий одной привилегированной функцией конфигурации, без мультиподписи и без задержки между изменением конфигурации и очисткой монетного двора в цепочке».

Керен сказала, что более широкая проблема для протоколов DeFi в 2026 году будет заключаться не только в том, проверяются ли контракты, но и в том, останутся ли операционные ключи, лежащие в основе этих контрактов, единственной точкой отказа.