Mercoledì, la vulnerabilità di Stake DAO ha compromesso la chiave di distribuzione Arbitrum del protocollo. Un aggressore ha creato circa 5,4 trilioni di token Vote-Boosted sdCRV (vsdCRV) falsi, scambiandoli poi con ether tramite un router pubblico.
La violazione ha aggirato tutti i controlli degli smart contract in vigore. Una singola chiave privata con diritti privilegiati ha causato perdite per centinaia di milioni di dollari nel settore DeFi quest'anno.
Come è avvenuto l'exploit di Stake DAO
Gli avvisi on-chain di Blockaid hanno ricondotto la violazione a un wallet di un deployer di Stake DAO. L'attaccante ha utilizzato la chiave per reimpostare il peer del bridge LayerZero v2 per vsdCRV.
Circa 25 secondi dopo, un messaggio cross-chain falsificato ha generato 5,4 trilioni di vsdCRV su Arbitrum.
L'attaccante ha venduto i token in cambio di ether tramite il router pubblico di MetaMask . Non è stata rilevata alcuna falla nello smart contract.
In particolare, un recente exploit di LayerZero su KelpDAO si è verificato tramite un abuso simile della configurazione peer.
Uno schema ricorrente di compromessi chiave
La vulnerabilità di Stake DAO segue lo stesso schema del furto di fondi del protocollo Wasabi avvenuto ad aprile . Un wallet compromesso ha sottratto circa 4,5 milioni di dollari dai vault su quattro blockchain.
Nello stesso mese, Drift Protocol perse 285 milioni di dollari su Solana. Il blocco di KelpDAO da parte di Arbitrum seguì, alcune settimane dopo, un exploit di tipo bridge da 292 milioni di dollari.
Ciascun protocollo aveva superato le verifiche. Il problema risiedeva a un livello superiore al codice, nelle chiavi che impostavano i peer del bridge o aggiornavano le implementazioni. La moneta da 80 milioni di dollari coniata da Resolv all'inizio di quest'anno rientrava nello stesso schema.
"La domanda a cui la DeFi dovrà rispondere nel 2026 non è più se i protocolli vengano sottoposti ad audit, perché quasi tutti lo sono. La domanda è se il piccolo insieme di chiavi operative alla base di quei contratti sottoposti ad audit… possa ancora esistere come un singolo oggetto su un singolo laptop", ha dichiarato Shalev Keren, co-fondatore di Sodot, a BeInCrypto, aggiungendo che gli audit non rispondono più alla domanda centrale.
Per Stake DAO e le sue controparti, la protezione dei wallet multisig deve interporsi tra le chiavi di distribuzione e le coniazioni di criptovalute contraffatte. Altrimenti, la prossimaviolazione di una piattaforma DeFi sarà riconducibile a un singolo computer portatile, non a un codice difettoso.
L'articolo "Stake DAO Exploit Shows Why “Audited” Doesn’t Mean Safe In DeFi" è apparso per la prima volta su BeInCrypto .