L'exploitation de Stake DAO mercredi a compromis la clé de déploiement Arbitrum du protocole. Un attaquant a émis environ 5,4 billions de faux jetons Vote-Boosted sdCRV (vsdCRV) avant de les échanger contre de l'éther via un routeur public.
La violation a contourné tous les contrôles de contrat intelligent en place. Une seule clé privée dotée de droits privilégiés a entraîné des pertes de plusieurs centaines de millions dans le DeFi cette année.
Comment l'exploitation de Stake DAO a eu lieu
Les alertes sur chaîne de Blockaid ont identifié la violation comme provenant d'un wallet déployeur de Stake DAO. L'attaquant a utilisé la clé pour réinitialiser le peer du pont LayerZero v2 pour vsdCRV.
Environ 25 secondes plus tard, un message cross-chain falsifié a émis 5,4 billions de vsdCRV sur Arbitrum.
L'attaquant a déversé les jetons pour l'ether via le routeur public de MetaMask. Aucune faille de contrat intelligent n'a été trouvée.
Notamment, une exploitation récente de LayerZero sur KelpDAO a eu lieu par une utilisation similaire de la configuration entre pairs.
Un schéma familier de compromissions de clés
L'exploitation de Stake DAO suit le même modèle que le retrait du protocole Wasabi en avril. Un wallet de déploiement compromis a retiré environ 4,5 millions de dollars des coffres sur quatre chaînes.
Drift Protocol a perdu 285 millions de dollars sur Solana ce même mois. Arbitrum’s KelpDAO freeze a suivi une exploitation de pont de 292 millions de dollars quelques semaines plus tard.
Chaque protocole avait passé les audits. L'échec se situait au-dessus du code, dans les clés qui définissaient les pairs de pont ou les mises à jour d'implémentation. Le mint de 80 millions de dollars de Resolv plus tôt cette année correspondait au même modèle
« La question que la DeFi doit répondre en 2026 n’est plus de savoir si les protocoles sont audités, car presque tous le sont. Il s’agit de savoir si le petit ensemble de clés opérationnelles derrière ces contrats audités… sont toujours autorisées à exister comme un seul objet sur un seul ordinateur portable », a déclaré Shalev Keren, cofondateur de Sodot, à BeInCrypto, ajoutant que les audits ne répondent plus à la question centrale.
Pour Stake DAO et ses homologues, les protections de wallet multisig doivent être placées entre les clés de déploiement et les mintes falsifiées. Sinon, la prochaine compromission de plateforme DeFi remontera à un seul ordinateur portable, et non à un code défectueux.