استغلال Stake DAO يوم الأربعاء أدى إلى اختراق مفتاح ناشري Arbitrum للبروتوكول. قام المهاجم بإنشاء حوالي 5.4 تريليون رمز مزيف من Vote-Boosted sdCRV (vsdCRV) قبل تبديله مقابل إيثير من خلال موجه عام.
الخرق تجاوز جميع ضوابط العقد الذكي المتوفرة. لقد تسبب مفتاح خاص واحد بحقوق مميزة في خسائر تجاوزت مئات الملايين من الدولارات في مجال التمويل اللامركزي هذا العام.
كيف حدث استغلال Stake DAO
أشارت تنبيهات السلسلة من Blockaid إلى أن الاختراق تم تتبعه إلى محفظة ناشر Stake DAO. استخدم المهاجم المفتاح لإعادة ضبط زميل جسر LayerZero v2 لـ vsdCRV.
بعد حوالي 25 ثانية، أنشأ رسالة عبر سلاسل مزورة 5.4 تريليون vsdCRV على Arbitrum.
قام المهاجم بتفريغ الرموز الخاصة بالإيثيريوم من خلال موجه MetaMask العام. لم يتم اكتشاف أي ثغرة في العقد الذكي.
جدير بالذكر أن استغلالًا حديثًا لـ LayerZero على KelpDAO حدث من خلال إساءة استخدام تكوين الأقران نفسه.
نمط مألوف من اختراقات المفاتيح
استغلال Stake DAO يتبع نفس النموذج مثل سحب بروتوكول Wasabi في أبريل. قام محفظة مُنفِّذ مخترقة بسحب حوالي 4.5 مليون دولار من الصناديق على أربع سلاسل.
خسر بروتوكول دريفت 285 مليون دولار على سولانا في نفس الشهر. تجميد KelpDAO على Arbitrum تبعه استغلال لجسر بقيمة 292 مليون دولار بعد أسابيع.
لقد مر كل بروتوكول بالتدقيق. كان الفشل يقع فوق الكود، في المفاتيح التي تحدد أقران الجسر أو تنفيذ الترقيات. طباعة Resolv بقيمة 80 مليون دولار في وقت سابق من هذا العام تطابقت نفس النموذج
قال شاليف كيرين، المؤسس المشارك لشركة Sodot، لـ BeInCrypto: "السؤال الذي يجب على DeFi الإجابة عنه في عام 2026 لم يعد هل يتم التدقيق على البروتوكولات، لأن معظمها تقوم بذلك بالفعل. بل هل يُسمح لمجموعة صغيرة من المفاتيح التشغيلية خلف العقود المدققة... أن تظل ككيان واحد على جهاز كمبيوتر محمول واحد"، وأضاف أن التدقيقات لم تعد تجيب على السؤال الأساسي.
لـ Stake DAO ونظائرها، تحتاج حمايات المحفظة متعددة التوقيع multisig wallet protections إلى أن تقع بين مفاتيح الناشر والعملات المعدّة بشكل غير مصرح به. وإلا، فسيعود اختراق منصة DeFi التالية DeFi platform compromise إلى جهاز كمبيوتر محمول واحد، وليس إلى كود سيء.