Inicio
Noticias
Detalles

La explotación de DAO destaca los riesgos de la seguridad de clave única en DeFi

iconBeInCrypto
Compartir
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconResumen

expand icon
Stake DAO sufrió una brecha de seguridad importante el 27 de mayo de 2026, tras un atacante utilizó la clave de despliegue de Arbitrum del protocolo para acuñar 5,4 billones de tokens vsdCRV falsos y intercambiarlos por ether. La explotación DeFi evitó todas las protecciones de contratos inteligentes y replicó incidentes pasados como KelpDAO y Wasabi Protocol. Los analistas dicen que las auditorías no ayudarán si las claves operativas siguen centralizadas en un solo dispositivo.

La explotación de Stake DAO el miércoles comprometió la clave de despliegue de Arbitrum del protocolo. Un atacante acuñó aproximadamente 5,4 billones de tokens falsos de Vote-Boosted sdCRV (vsdCRV) antes de intercambiarlos por ether a través de un router público.

La brecha evitó todos los controles de contrato inteligente implementados. Una única clave privada con derechos privilegiados ha provocado pérdidas de cientos de millones en DeFi este año.

Cómo ocurrió la explotación de Stake DAO

Las alertas en la cadena de Blockaid rastrearon la brecha hasta un monedero deployer de Stake DAO. El atacante utilizó la clave para restablecer el par de la puente LayerZero v2 para vsdCRV.

Patrocinado
Patrocinado

Aproximadamente 25 segundos después, un mensaje transfronterizo falsificado acuñó 5,4 billones de vsdCRV en Arbitrum.

El atacante vertió los tokens de ether a través del enrutador público de MetaMask. No se encontró ninguna falla en el contrato inteligente.

Cabe destacar que una reciente explotación de LayerZero en KelpDAO ocurrió mediante un abuso similar de la configuración entre pares.

Un patrón familiar de compromisos de claves

La explotación de Stake DAO sigue la misma plantilla que el drenaje del Wasabi Protocol en abril. Un monedero de despliegue comprometido retiró alrededor de $4.5 millones de bóvedas en cuatro cadenas.

Drift Protocol perdió $285 millones en Solana ese mismo mes. Arbitrum’s KelpDAO freeze siguió un exploit de puente de $292 millones semanas después.

Cada protocolo había superado las auditorías. El fallo se encontraba por encima del código, en las claves que configuraban los pares de puente o las implementaciones de actualización. La emisión de $80 millones de Resolv a principios de este año encajaba en el mismo patrón

“La pregunta que DeFi debe responder en 2026 ya no es si los protocolos son auditados, porque casi todos lo son. Es si el pequeño conjunto de claves operativas detrás de esos contratos auditados... aún se permitirá que vivan como un solo objeto en una sola computadora portátil”, dijo Shalev Keren, cofundador de Sodot, a BeInCrypto, añadiendo que las auditorías ya no responden a la pregunta central.

Para Stake DAO y sus pares, las protecciones de monedero multisig deben situarse entre las claves del desplegador y las acuñaciones falsificadas. De lo contrario, la próxima compromisión de una plataforma DeFi se rastreará hasta una sola laptop, no hasta código defectuoso.

Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.