L’exploit ai danni di Stake DAO avvenuto mercoledì ha compromesso la chiave deployer del protocollo su Arbitrum. Un attaccante ha mintato circa 5,4 trilioni di falsi Vote-Boosted sdCRV (vsdCRV) prima di scambiarli con ether tramite un router pubblico.
La violazione ha bypassato tutti i controlli presenti negli smart contract. Una sola chiave privata con diritti privilegiati ha causato centinaia di milioni di dollari di perdite nella DeFi quest’anno.
Come è avvenuto l’exploit di Stake DAO
Allerte on-chain di Blockaid hanno rintracciato la violazione a un wallet deployer di Stake DAO. L’attaccante ha utilizzato la chiave per reimpostare il peer del bridge LayerZero v2 per vsdCRV.
Circa 25 secondi dopo, un messaggio cross-chain falsificato ha mintato 5,4 trilioni di vsdCRV su Arbitrum.
L’attaccante ha scaricato i token in cambio di ether tramite il router pubblico di MetaMask. Non è stata rilevata alcuna vulnerabilità negli smart contract.
In particolare, un recente exploit su LayerZero ai danni di KelpDAO è avvenuto tramite un abuso simile della configurazione dei peer.
Il familiare schema delle compromissioni delle chiavi
L’exploit di Stake DAO segue lo stesso schema del drain su Wasabi Protocol di aprile. Un wallet deployer compromesso ha sottratto circa 4,5 milioni di dollari da vault su quattro chain.
Drift Protocol ha perso 285 milioni di dollari su Solana nello stesso mese. Il congelamento di KelpDAO su Arbitrum è seguito a un exploit su bridge da 292 milioni di dollari alcune settimane dopo.
Ogni protocollo aveva superato audit. Il problema non stava nel codice, ma nelle chiavi che impostano i peer dei bridge o aggiornano le implementazioni. L’emissione da 80 milioni di dollari di Resolv di quest’anno segue lo stesso schema.
“La domanda a cui la DeFi dovrà rispondere nel 2026 non è più se i protocolli vengono auditati, perché ormai quasi tutti lo sono. È se il ristretto gruppo di chiavi operative dietro quei contratti oggetto di audit… sia ancora autorizzato a esistere come unico oggetto su un singolo laptop”, ha spiegato in dettaglio a BeInCrypto il co-fondatore di Sodot, Shalev Keren, aggiungendo che gli audit non rispondono più alla questione centrale.
Per Stake DAO e i suoi peer, sono necessarie protezioni tramite multisig wallet tra le chiavi deployer e le operazioni di mint falsificate. In caso contrario, la prossima violazione di una piattaforma DeFi sarà riconducibile a un singolo laptop, non a codice difettoso.
