Головна
Новини
Детальніше

Експлуатація DAO підкреслює ризики безпеки з однією ключовою ключовою системою у DeFi

iconBeInCrypto
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconКороткий зміст

expand icon
Stake DAO зазнав серйозного порушення безпеки 27 травня 2026 року, коли нападник використав ключ розгортання Arbitrum протоколу для створення 5,4 трильйона фальшивих токенів vsdCRV та обміну їх на ефір. Експлуатація DeFi обійшла всі захисти розумних контрактів і була аналогічною минулим інцидентам, таким як KelpDAO та Wasabi Protocol. Аналітики стверджують, що аудити не допоможуть, якщо операційні ключі залишаються централизованими на одному пристрої.

Експлуатація Stake DAO в середу скомпрометувала ключ розгортання Arbitrum протоколу. Зловмисник випустив приблизно 5,4 трильйона фейкових токенів Vote-Boosted sdCRV (vsdCRV), а потім обміняв їх на ефір через публічний роутер.

Порушення обійшло всі наявні контролі смарт-контрактів. Один приватний ключ із привілеями призвів до збитків у сотні мільйонів доларів у DeFi цього року.

Як відбувся експлойт Stake DAO

Ончейн-сповіщення від Blockaid встановили, що порушення було зв’язане з гаманцем розробника Stake DAO. Зловмисник використав ключ, щоб скинути пір LayerZero v2 для vsdCRV.

Спонсоровано
Спонсоровано

Приблизно через 25 секунд піддельне міжланцюгове повідомлення випустило 5,4 трильйона vsdCRV на Arbitrum.

Зловмисник вивів токени за допомогою публічного роутера MetaMask. Помилок у смарт-контракті не виявлено.

Варто зазначити, що новий експлойт LayerZero на KelpDAO відбувся через подібне зловживання конфігурацією пірів.

Знайомий шаблон порушень ключів

Експлуатація Stake DAO слідує тій самій схемі, що й вилучення коштів з Wasabi Protocol у квітні. Компрометований гаманець розробника вивів близько 4,5 мільйона доларів із сейфів на чотирьох ланцюгах.

Drift Protocol втратив $285 мільйонів на Solana того ж місяця. Заморозка Arbitrum’s KelpDAO відбулася через кілька тижнів після експлойту мосту на суму $292 мільйони.

Кожен протокол пройшов аудит. Помилка знаходилася не в коді, а в ключах, що встановлювали піри моста або реалізації оновлень. Розлив Resolv на $80 мільйонів на початку цього року відповідав тій самій схемі

«Питання, на яке DeFi повинен відповісти у 2026 році, більше не полягає в тому, чи проходять протоколи аудит, оскільки майже всі з них це роблять. Воно полягає в тому, чи дозволено маленькому набору операційних ключів, що стоять за цими аудитованими контрактами… продовжувати існувати як один об’єкт на одному ноутбуці», — сказав співзасновник Sodot Шалев Керен BeInCrypto, додавши, що аудити більше не відповідають на головне питання.

Для Stake DAO та його аналогів, захист багатопідписових гаманців повинен розташовуватися між ключами розгортання та підробленими мінтами. В іншому випадку наступне порушення DeFi-платформи буде пов’язане з одним ноутбуком, а не з поганим кодом.

Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.