水曜日のStake DAOの攻撃により、プロトコルのArbitrumデプロイキーが侵害されました。攻撃者は、公共のルーターを通じてイーサリアムと交換する前に、約5.4兆個の偽のVote-Boosted sdCRV(vsdCRV)トークンを発行しました。
この侵害は、設置されたすべてのスマートコントラクト制御を回避しました。特権を持つ単一のプライベートキーが、今年で数億ドルのDeFi損失を引き起こしました。
ステークDAOの攻撃がどのように発生したか
Blockaidのオンチェーンアラートにより、この侵害はStake DAOのデプロイウォレットに由来することが特定されました。攻撃者はこの鍵を使用して、vsdCRVのLayerZero v2ブリッジピアをリセットしました。
約25秒後、偽造されたクロスチェーンメッセージにより、Arbitrum上で5.4兆vsdCRVが発行されました。
攻撃者は、MetaMaskのパブリックルーターを通じてイーサーのトークンを放出しました。スマートコントラクトの脆弱性は見つかりませんでした。
注目すべきことに、KelpDAOでの最近のLayerZeroの攻撃も、同様のピア設定の悪用を通じて発生しました。
よくあるキーの侵害のパターン
ステークDAOの攻撃は、4月のWasabi Protocolの資金引き出しと同じパターンです。侵害されたデプロイワレットが、4つのチェーン上のバウトから約450万ドルを引き出しました。
その同じ月、Drift ProtocolはSolana上で2億8500万ドルを失いました。ArbitrumのKelpDAOの凍結は、数週間後に2億9200万ドルのブリッジ攻撃が発生しました。
各プロトコルは監査を通過していました。失敗はコードの上、ブリッジピアやアップグレード実装を設定する鍵にありました。Resolvの8,000万ドルのミントは今年初めに同じパターンに当てはまりました
「2026年にDeFiが答えなければならない質問は、プロトコルが監査されるかどうかではなく、ほぼすべてのプロトコルがすでに監査されているからだ。重要なのは、これらの監査済み契約の背後にあるごく少数の運用キーが、依然として1台のノートパソコン上に単一のオブジェクトとして存在し続けることが許されるのかどうかである」と、Sodot共同設立者のShalev KerenはBeInCryptoに語り、監査ではもはや中心的な質問に答えられないと付け加えた。
Stake DAOおよびその他の関連プロジェクトの場合、マルチシグウォレットの保護はデプロイキーと偽造されたミントの間に配置される必要があります。そうでなければ、次のDeFiプラットフォームの侵害は悪質なコードではなく、1台のノートパソコンに起因することになります。