Nabiktima ng exploit ang Stake DAO nitong Miyerkules matapos makompromiso ang Arbitrum deployer key ng protocol. Nag-mint ang attacker ng nasa 5.4 trilyon na pekeng Vote-Boosted sdCRV (vsdCRV) tokens at agad niya itong pinalit sa ether gamit ang public router.
Na-bypass ng breach lahat ng smart contract security na ginamit sa protocol. Sa ngayon, ang paggamit ng isang private key na may malalaking access ay nagdulot ng daan-daang milyong dolyar na DeFi losses ngayong taon.
Paano Nangyari ang Stake DAO Exploit
Naglabas ang Blockaid ng on-chain alerts na tumukoy na ang exploit ay nanggaling sa deployer wallet ng Stake DAO. Ginamit ng attacker ang key na ito para i-reset ang LayerZero v2 bridge peer para sa vsdCRV.
Mga 25 segundo lang ang lumipas, may fake na cross-chain message na nag-mint ng 5.4 trilyong vsdCRV sa Arbitrum.
Agad ibinenta ng attacker ang mga token sa ether gamit ang public router ng MetaMask. Walang nakita na flaw sa smart contract dito.
Kapansin-pansin, kamakailan lang nagkaroon din ng LayerZero exploit sa KelpDAO gamit din ang halos parehong peer-configuration abuse.
Pamilyar na Pattern ng Key Compromise
Parang inuulit lang ng Stake DAO exploit ang nangyari sa Wasabi Protocol drain noong April. Na-compromise din doon ang deployer wallet kaya nakuha ang nasa $4.5 milyon mula sa mga vault sa apat na chains.
Noong buwan ding ‘yon, nalugi ang Drift Protocol ng $285 milyon sa Solana. Nag-freeze din ang KelpDAO ng Arbitrum matapos ang $292 milyon na bridge exploit ilang linggo pagkatapos.
Pumasa sa audits lahat ng protocol na ito pero ang problema ay hindi naman sa code, kundi sa mga keys na nagse-set ng bridge peers o upgrades. Ang Resolv na nag-mint ng $80 milyon ngayong taon, same din ang naging kwento.
“Ang tanong ng DeFi sa 2026, hindi na kung naka-audit ang mga protocol kasi halos lahat naman, kundi kung yung mga operational keys na ito sa likod ng audited contracts… pinapayagan pa rin bang manatili lang sa iisang laptop,” kwento ng Sodot co-founder na si Shalev Keren sa BeInCrypto, at dagdag pa niya, hindi na sagot ng audits ang pinaka-importanteng issue.
Para sa Stake DAO at katulad na protocols, kailangan talagang gumamit ng multisig wallet bilang proteksyon sa pagitan ng deployer keys at fake na mint. Kung wala nito, baka ang sunod na DeFi platform na mapasok ay manggaling lang din sa iisang compromised na laptop, hindi sa bug ng code.
