Главная
Новости
Подробнее

Эксплуатация DAO подчеркивает риски безопасности с одним ключом в DeFi

iconBeInCrypto
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconСводка

expand icon
Stake DAO столкнулся с серьезным нарушением безопасности 27 мая 2026 года, когда злоумышленник использовал ключ развертывания Arbitrum протокола для создания 5,4 триллиона фальшивых токенов vsdCRV и обмена их на эфир. Эксплуатация DeFi обошла все защиты смарт-контрактов и повторила предыдущие инциденты, такие как KelpDAO и Wasabi Protocol. Аналитики отмечают, что аудиты не помогут, если операционные ключи остаются централизованными на одном устройстве.

Эксплуатация Stake DAO в среду скомпрометировала ключ развертывания протокола на Arbitrum. Злоумышленник выпустил примерно 5,4 триллиона поддельных токенов Vote-Boosted sdCRV (vsdCRV), после чего обменял их на эфир через публичный роутер.

Уязвимость обшла все существующие контрольные механизмы смарт-контрактов. Один приватный ключ с повышенными правами стал причиной потерь в сотни миллионов долларов в DeFi в этом году.

Как произошла атака на Stake DAO

Ончейн-уведомления от Blockaid установили, что взлом был связан с кошельком разработчика Stake DAO. Злоумышленник использовал ключ, чтобы сбросить пир-мост LayerZero v2 для vsdCRV.

Спонсорство
Спонсорство

Примерно через 25 секунд поддельное межцепочечное сообщение создало 5,4 триллиона vsdCRV на Arbitrum.

Атакующий вывел токены через публичный роутер MetaMask. Уязвимость в смарт-контракте не обнаружена.

Заметно, что недавняя эксплуатация LayerZero на KelpDAO произошла через аналогичное злоупотребление настройкой пиров.

Знакомая схема компрометации ключей

Эксплуатация Stake DAO следует тому же шаблону, что и вывод средств из Wasabi Protocol в апреле. Скомпрометированный кошелек разработчика извлек около 4,5 млн долларов из хранилищ на четырех цепочках.

Drift Protocol потерял 285 миллионов долларов на Solana в тот же месяц. Заморозка KelpDAO на Arbitrum последовала за хаком моста на сумму 292 миллиона долларов через несколько недель.

Каждый протокол прошел аудит. Сбой находился выше кода — в ключах, устанавливающих пиров моста или реализации обновлений. Минт Resolv на $80 млн в начале этого года соответствовал той же модели

Вопрос, на который DeFi должен ответить в 2026 году, уже не в том, проходят ли протоколы аудит, поскольку почти все они его проходят. Вопрос в том, разрешено ли небольшому набору операционных ключей, стоящих за этими аудированными контрактами, продолжать существовать как единый объект на одном ноутбуке», — сказал сооснователь Sodot Шалев Керен BeInCrypto, добавив, что аудит больше не отвечает на главный вопрос.

Для Stake DAO и аналогичных проектов защита мультиподписного кошелька должна располагаться между ключами разработчика и поддельными чеканками. В противном случае следующее взлом DeFi-платформы будет связано с одним ноутбуком, а не с плохим кодом.

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.