Beranda
Berita
Detail

Eksploitasi DAO Menyoroti Risiko Keamanan Kunci Tunggal di DeFi

iconBeInCrypto
Bagikan
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
Stake DAO mengalami pelanggaran keamanan besar pada 27 Mei 2026, setelah penyerang menggunakan kunci deployer Arbitrum protokol untuk mencetak 5,4 triliun token vsdCRV palsu dan menukarnya dengan ether. Eksploitasi DeFi ini menghindari semua perlindungan kontrak pintar dan meniru insiden sebelumnya seperti KelpDAO dan Wasabi Protocol. Para analis mengatakan audit tidak akan membantu jika kunci operasional masih terpusat pada satu perangkat.

Eksploitasi Stake DAO pada Rabu mengompromikan kunci deployer Arbitrum protokol. Seorang penyerang mencetak sekitar 5,4 triliun token sdCRV yang dipertingkat suara (vsdCRV) palsu sebelum menukarnya dengan ether melalui router publik.

Pelanggaran tersebut melewati semua kendali kontrak pintar yang ada. Satu kunci pribadi dengan hak istimewa telah menyebabkan kerugian DeFi ratusan juta dolar tahun ini.

Bagaimana eksploitasi Stake DAO terjadi

Alert on-chain dari Blockaid melacak pelanggaran ke dompet deployer Stake DAO. Penyerang menggunakan kunci tersebut untuk mengatur ulang peer jembatan LayerZero v2 untuk vsdCRV.

Disponsori
Disponsori

Sekitar 25 detik kemudian, pesan lintas-rantai palsu mencetak 5,4 triliun vsdCRV di Arbitrum.

Penyerang melemparkan token untuk ether melalui router publik MetaMask. Tidak ditemukan kelemahan pada smart-contract.

Secara signifikan, eksploit LayerZero terbaru pada KelpDAO terjadi melalui penyalahgunaan konfigurasi sejenis.

Pola yang Sudah Dikenal dari Kompromi Kunci

Eksploitasi Stake DAO mengikuti pola yang sama dengan penarikan Wasabi Protocol pada April. Dompet deployer yang dikompromikan menarik sekitar $4,5 juta dari vault di empat rantai.

Drift Protocol kehilangan $285 juta di Solana pada bulan yang sama. Arbitrum’s KelpDAO freeze diikuti oleh eksploitasi jembatan senilai $292 juta beberapa minggu kemudian.

Setiap protokol telah lulus audit. Kegagalan terletak di atas kode, pada kunci-kunci yang menetapkan rekan jembatan atau pembaruan implementasi. Resolv’s $80 million mint awal tahun ini sesuai dengan pola yang sama

"Pertanyaan yang harus dijawab DeFi pada 2026 bukan lagi apakah protokol diaudit, karena hampir semuanya sudah diaudit. Tetapi apakah sekelompok kecil kunci operasional di balik kontrak-kontrak yang diaudit... masih diperbolehkan untuk tetap hidup sebagai satu objek tunggal di satu laptop," kata co-founder Sodot, Shalev Keren kepada BeInCrypto, menambahkan bahwa audit tidak lagi menjawab pertanyaan utama.

Untuk Stake DAO dan rekan-rekannya, perlindungan dompet multisig perlu ditempatkan di antara kunci deployer dan pencetakan palsu. Jika tidak, kompromi platform DeFi berikutnya akan berujung pada satu laptop, bukan kode yang buruk.

Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.