Home
Mga Balita
Mga Detalye

Ang Stake DAO Exploit ay nagpapakita ng mga panganib ng single-key security sa DeFi

iconBeInCrypto
I-share
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconSummary

expand icon
Binabanta ng malaking paglabag sa seguridad ang Stake DAO noong Mayo 27, 2026, pagkatapos gamitin ng attacker ang Arbitrum deployer key ng protokolo upang mag-mint ng 5.4 trilyon na fake na vsdCRV tokens at palitan sila para sa ether. Iwasan ng DeFi exploit ang lahat ng mga proteksyon sa smart-contract at sinunod ang mga nakaraang insidente tulad ng KelpDAO at Wasabi Protocol. Sabi ng mga analista, hindi makakatulong ang mga audit kung ang operational keys ay nananatiling sentralisado sa isang device.

Ang pag-atake sa Stake DAO noong Miyerkules ay nagkompromiso sa key ng Arbitrum deployer ng protokolo. Isang attacker ay nag-mint ng humigit-kumulang 5.4 trilyon na pekeng Vote-Boosted sdCRV (vsdCRV) na token bago ito palitan para sa ether sa pamamagitan ng isang public router.

Ang paglabas ay nagbypass sa lahat ng mga kontrol sa smart-contract. Isang pribadong key na may privilehiyadong karapatan ang nagdulot ng mga pagkawala sa halagang milyon-milyon dolyar sa DeFi sa taong ito.

Paano nangyari ang Stake DAO exploit

Mula sa mga on-chain alert mula sa Blockaid, nasukat ang paglabas sa isang Stake DAO deployer wallet. Gumamit ang attacker ng susi upang i-reset ang LayerZero v2 bridge peer para sa vsdCRV.

Sponsored
Sponsored

Kabuuang 25 segundo pagkatapos, isang pinagmumulan na cross-chain na mensahe ay nag-mint ng 5.4 trilyon na vsdCRV sa Arbitrum.

Ipinagbenta ng attacker ang mga token para sa ether sa pamamagitan ng public router ng MetaMask. Walang kakulangan sa smart contract ang natuklasan.

Nakikita, isang recent LayerZero exploit sa KelpDAO ay naganap sa pamamagitan ng katulad na pag-abuso sa peer-configuration.

Pamilyar na Pattern ng Mga Pagkakasira ng Key

Ang Stake DAO exploit ay sumusunod sa parehong template tulad ng April’s Wasabi Protocol drain. Isang naka-compromise na deployer wallet ay tinarik ang halos $4.5 milyon mula sa mga vault sa apat na chains.

Nawala ang Drift Protocol ng $285 milyon sa Solana noong parehong buwan. Arbitrum’s KelpDAO freeze ay sumunod sa isang bridge exploit na $292 milyon ilang linggo pagkatapos.

Lahat ng protokolo ay nakapasa sa mga audit. Ang pagkabigo ay nasa itaas ng code, sa mga susi na nagtatakda ng mga peer ng tulay o pag-upgrade ng implementasyon. Ang $80 milyong mint ni Resolv noong simula ng taong ito ay sumunod sa parehong modelo

Ang tanong na dapat sagutin ng DeFi noong 2026 ay hindi na kung ang mga protokolo ay napapagsusuri, dahil halos lahat ng mga ito ay napapagsusuri. Ito ay kung ang maliit na set ng operational keys sa likod ng mga nasusuri na contract… ay patuloy pa ring pinapahintulutan na maging isang ок na nasa isang solong laptop,” sabi ni Shalev Keren, co-founder ng Sodot kay BeInCrypto, at dagdag niya na ang mga pagsusuri ay hindi na sumasagot sa pangunahing tanong.

Para sa Stake DAO at mga katulad nito, ang multisig wallet protections ay dapat maging pagitan ng deployer keys at forged mints. Kung hindi, ang susunod na DeFi platform compromise ay magiging trace back sa isang solong laptop, hindi sa masamang code.

Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito. Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.