Trang chủ
Tin tức
Chi tiết

Chuyến khai thác DAO nhấn mạnh rủi ro của bảo mật khóa đơn trong DeFi

iconBeInCrypto
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconTóm tắt

expand icon
Stake DAO đã gặp sự cố bảo mật nghiêm trọng vào ngày 27 tháng 5 năm 2026, sau khi một kẻ tấn công sử dụng chìa khóa triển khai Arbitrum của giao thức để tạo ra 5,4 nghìn tỷ token vsdCRV giả và giao dịch chúng lấy ether. Sự khai thác DeFi này đã tránh được tất cả các biện pháp bảo vệ hợp đồng thông minh và mô phỏng các sự cố trước đây như KelpDAO và Wasabi Protocol. Các chuyên gia phân tích cho rằng các cuộc kiểm toán sẽ không giúp ích nếu các chìa khóa vận hành vẫn tập trung trên một thiết bị duy nhất.

Cuộc khai thác Stake DAO vào thứ Tư đã xâm phạm chìa khóa triển khai Arbitrum của giao thức. Một kẻ tấn công đã tạo ra khoảng 5,4 nghìn tỷ token sdCRV được tăng cường phiếu bầu (vsdCRV) giả mạo trước khi hoán đổi chúng lấy ether thông qua một bộ định tuyến công khai.

Cuộc xâm nhập đã vượt qua mọi kiểm soát hợp đồng thông minh đang được áp dụng. Một khóa riêng duy nhất có quyền ưu tiên đã gây ra hàng trăm triệu đô la thiệt hại trong DeFi năm nay.

Cách vụ khai thác Stake DAO xảy ra

Cảnh báo trên chuỗi từ Blockaid đã xác định vụ xâm nhập đến ví người triển khai Stake DAO. Kẻ tấn công đã sử dụng khóa này để đặt lại peer cầu LayerZero v2 cho vsdCRV.

Được tài trợ
Được tài trợ

Khoảng 25 giây sau, một thông điệp xuyên chuỗi giả mạo đã tạo ra 5,4 nghìn tỷ vsdCRV trên Arbitrum.

Kẻ tấn công đã bán các token này thành ether qua bộ định tuyến công khai của MetaMask. Không tìm thấy lỗ hổng hợp đồng thông minh nào.

Đáng chú ý, một lỗ hổng LayerZero gần đây trên KelpDAO đã xảy ra thông qua việc lạm dụng cấu hình đồng cấp tương tự.

Một mô hình quen thuộc về các lỗ hổng khóa

Vụ khai thác Stake DAO tuân theo cùng một mẫu như cuộc rút tiền của Wasabi Protocol vào tháng Tư. Một ví người triển khai bị xâm phạm đã rút khoảng 4,5 triệu đô la từ các vault trên bốn chuỗi.

Drift Protocol đã mất 285 triệu USD trên Solana vào cùng tháng đó. Arbitrum’s KelpDAO freeze xảy ra vài tuần sau đó sau một vụ khai thác cầu trị giá 292 triệu USD.

Mỗi giao thức đều đã qua kiểm toán. Sự cố nằm ở trên mã, trong các khóa thiết lập các nút cầu hoặc nâng cấp triển khai. Việc phát hành $80 triệu của Resolv đầu năm nay cũng nằm trong cùng mô hình này

“Câu hỏi mà DeFi phải trả lời vào năm 2026 không còn là các giao thức có được kiểm toán hay không, vì gần như tất cả đều đã được kiểm toán. Mà là liệu nhóm khóa vận hành nhỏ đằng sau những hợp đồng đã được kiểm toán… có vẫn được phép tồn tại như một thực thể duy nhất trên một chiếc laptop duy nhất hay không,” đồng sáng lập Sodot Shalev Keren nói với BeInCrypto, thêm rằng các cuộc kiểm toán giờ đây không còn trả lời được câu hỏi cốt lõi.

Đối với Stake DAO và các đối tác của nó, biện pháp bảo vệ ví đa chữ ký cần được đặt giữa các khóa triển khai và các đợt phát hành giả mạo. Nếu không, sự xâm phạm nền tảng DeFi tiếp theo sẽ truy ngược về một chiếc laptop duy nhất, chứ không phải do mã lỗi.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.