Página inicial
Notícias
Detalhes

Exploração do DAO destaca riscos da segurança de chave única no DeFi

iconBeInCrypto
Compartilhar
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconResumo

expand icon
A Stake DAO sofreu uma grande violação de segurança em 27 de maio de 2026, após um atacante usar a chave de implantação do protocolo no Arbitrum para cunhar 5,4 trilhões de tokens vsdCRV falsos e trocá-los por ether. A exploração DeFi contornou todas as proteções de contratos inteligentes e espelhou incidentes anteriores como KelpDAO e Wasabi Protocol. Analistas dizem que auditorias não ajudarão se as chaves operacionais ainda estiverem centralizadas em um único dispositivo.

A exploração do Stake DAO na quarta-feira comprometeu a chave de implantação do protocolo no Arbitrum. Um atacante cunhou aproximadamente 5,4 trilhões de tokens falsos de Vote-Boosted sdCRV (vsdCRV) antes de trocá-los por ether por meio de um roteador público.

A violação contornou todos os controles de contrato inteligente em vigor. Uma única chave privada com direitos privilegiados causou centenas de milhões em perdas no DeFi este ano.

Como ocorreu a exploração do Stake DAO

Alertas on-chain da Blockaid rastrearam a violação até uma carteira de implementador do Stake DAO. O atacante usou a chave para redefinir o par da ponte LayerZero v2 para vsdCRV.

Patrocinado
Patrocinado

Cerca de 25 segundos depois, uma mensagem transfronteiriça falsificada cunhou 5,4 trilhões de vsdCRV no Arbitrum.

O atacante descarregou os tokens para ether através do roteador público da MetaMask. Nenhuma falha no contrato inteligente foi encontrada.

Notavelmente, um recente exploit da LayerZero na KelpDAO ocorreu por meio de abuso semelhante de configuração entre pares.

Um padrão familiar de comprometimentos de chaves

A exploração do Stake DAO segue o mesmo modelo do esvaziamento do Wasabi Protocol em abril. Uma carteira de implementador comprometida retirou cerca de US$ 4,5 milhões de vaults em quatro cadeias.

O Drift Protocol perdeu US$ 285 milhões na Solana no mesmo mês. Arbitrum’s KelpDAO freeze ocorreu semanas depois, após uma exploração de ponte de US$ 292 milhões.

Cada protocolo havia passado por auditorias. A falha estava acima do código, nas chaves que definiam pares de ponte ou implementações de atualização. Resolv’s $80 million mint no início deste ano se encaixava no mesmo padrão

“A pergunta que a DeFi precisa responder em 2026 já não é se os protocolos são auditados, pois quase todos o são. É se o pequeno conjunto de chaves operacionais por trás desses contratos auditados… ainda será permitido permanecer como um único objeto em um único laptop”, disse Shalev Keren, co-fundador da Sodot, à BeInCrypto, acrescentando que as auditorias já não respondem à pergunta central.

Para o Stake DAO e seus pares, proteções de carteira multisig precisam estar entre as chaves do implementador e as cunhagens forjadas. Caso contrário, a próxima compromisso de plataforma DeFi será rastreada até um único laptop, não até código ruim.

Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.