Atak na Stake DAO pokazuje, dlaczego „audytowany” nie oznacza bezpieczny w DeFi

Atak na Stake DAO w środę naraził na szwank klucz deployera protokołu na Arbitrum. Atakujący wyemitował około 5,4 bln fałszywych Vote-Boosted sdCRV (vsdCRV), a następnie wymienił je na Ethereum przez publiczny router.

Atak ominął wszystkie zabezpieczenia smart kontraktów. Jeden prywatny klucz z uprzywilejowanymi prawami spowodował straty rzędu setek mln USD w DeFi w tym roku.

Jak doszło do ataku na Stake DAO

Powiadomienia on-chain od Blockaid wskazały, że wyciek pochodził z portfela deployera Stake DAO. Atakujący użył klucza, by zresetować warstwę partnera mostu LayerZero v2 dla vsdCRV.

Około 25 sekund później sfałszowana wiadomość cross-chain wyemitowała 5,4 bln vsdCRV na Arbitrum.

Atakujący sprzedał tokeny na Ethereum przez publiczny router MetaMaska. Nie znaleziono żadnej luki w smart kontrakcie.

Warto dodać, że niedawny exploit LayerZero na KelpDAO również wykorzystał podobne nadużycie konfiguracji partnera mostu.

Znany schemat wycieku kluczy

Atak na Stake DAO przypomina atak na Wasabi Protocol z kwietnia. Wyciek klucza deployera pozwolił ukraść około 4,5 mln USD z sejfów na czterech blockchainach.

W tym samym miesiącu Drift Protocol na Solanie stracił 285 mln USD. KelpDAO na Arbitrum zamroził środki po wyłudzeniu 292 mln USD w ataku na most kilka tygodni później.

Każdy protokół miał audyty. Problem leżał ponad kodem – w kluczach ustawiających partnerów mostów lub upgrady. Resolv wyemitował 80 mln USD na początku roku w podobny sposób.

Dla Stake DAO i podobnych projektów ochrona portfelem multisig powinna stanowić barierę między kluczami deployera a fałszywą emisją. W przeciwnym razie kolejny atak na platformę DeFi będzie prowadził do jednego laptopa, a nie do złego kodu.

BeInCrypto Polska - Atak na Stake DAO pokazuje, dlaczego „audytowany” nie oznacza bezpieczny w DeFi