Halaman Utama
Berita
Butiran

Pengeksploitasian DAO menonjolkan risiko keselamatan kunci tunggal dalam DeFi

iconBeInCrypto
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
Stake DAO mengalami pelanggaran keselamatan besar pada 27 Mei 2026, selepas penyerang menggunakan kunci penghantar Arbitrum protokol untuk mencetak 5.4 trilion token vsdCRV palsu dan memperdagangkannya untuk ether. Eksploitasi DeFi ini mengelakkan semua perlindungan kontrak pintar dan meniru insiden terdahulu seperti KelpDAO dan Wasabi Protocol. Analis mengatakan audit tidak akan membantu jika kunci operasi masih terpusat pada satu peranti.

Pengeksploitasian Stake DAO pada Rabu mengompromikan kunci deployer Arbitrum protokol tersebut. Seorang penyerang mencetak sekitar 5,4 triliun token sdCRV yang dipertingkatkan suara (vsdCRV) palsu sebelum menukarkannya dengan ether melalui router awam.

Pelanjaran itu melintasi semua kawalan kontrak pintar yang ada. Satu kunci peribadi dengan hak istimewa telah menyebabkan kerugian DeFi berjumlah ratusan juta tahun ini.

Bagaimana eksploit Stake DAO berlaku

Pemberitahuan di rantai dari Blockaid mengesan pelanggaran itu kepada dompet penghantar Stake DAO. Penyerang menggunakan kunci itu untuk menetapkan semula rakan jambatan LayerZero v2 untuk vsdCRV.

Disponsori
Disponsori

Kira-kira 25 saat kemudian, mesej lintas rantai yang dipalsukan mencetak 5.4 trilion vsdCRV di Arbitrum.

Penyerang telah melepas token tersebut untuk ether menggunakan router awam MetaMask. Tiada kelemahan kontrak pintar ditemui.

Secara ketara, satu eksploit LayerZero terkini di KelpDAO berlaku melalui penyalahgunaan konfigurasi rakan yang serupa.

Pola Biasa Kompromi Kunci

Pengeksploitasian Stake DAO mengikuti templat yang sama seperti penarikan Wasabi Protocol pada April. Dompet penghantar yang telah disusupi menarik sekitar $4.5 juta dari peti di empat rantai.

Drift Protocol kehilangan $285 juta di Solana pada bulan yang sama. Arbitrum’s KelpDAO freeze berikutan serangan eksploit jambatan sebanyak $292 juta beberapa minggu kemudian.

Setiap protokol telah lulus audit. Kegagalan berada di atas kod, di dalam kunci yang menetapkan rakan jambatan atau pengoptimuman pelaksanaan. Resolv’s $80 million mint awal tahun ini sesuai dengan corak yang sama

“Soalan yang perlu dijawab oleh DeFi pada 2026 bukan lagi sama ada protokol menjalani pemeriksaan, kerana hampir semua daripadanya melakukannya. Ia adalah sama ada set kecil kunci operasi di belakang kontrak-kontrak yang telah dipemeriksa… masih dibenarkan untuk hidup sebagai satu objek tunggal pada satu laptop tunggal,” kata Shalev Keren, salah seorang pengetua Sodot kepada BeInCrypto, menambah bahawa pemeriksaan tidak lagi menjawab soalan utama.

Untuk Stake DAO dan pesaingnya, perlindungan dompet multisig perlu ditempatkan di antara kunci penerap dan pencetakan palsu. Jika tidak, kompromi platform DeFi berikutnya akan berpaut pada satu laptop, bukan kod yang buruk.

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.