Atak na Stake DAO pokazuje, dlaczego „audytowany” nie oznacza bezpieczny w DeFi

3 godzin temu

Atak na Stake DAO w środę naraził na szwank klucz deployera protokołu na Arbitrum. Atakujący wyemitował około 5,4 bln fałszywych Vote-Boosted sdCRV (vsdCRV), a następnie wymienił je na Ethereum przez publiczny router.

Atak ominął wszystkie zabezpieczenia smart kontraktów. Jeden prywatny klucz z uprzywilejowanymi prawami spowodował straty rzędu setek mln USD w DeFi w tym roku.

Jak doszło do ataku na Stake DAO

Powiadomienia on-chain od Blockaid wskazały, iż wyciek pochodził z portfela deployera Stake DAO. Atakujący użył klucza, by zresetować warstwę partnera mostu LayerZero v2 dla vsdCRV.

🚨 Blockaid detected an ongoing exploit targeting@StakeDAOHQ on Arbitrum.

The attacker just minted over 5.4 trillion vsdCRV and is actively swapping it for ETH.

More details in 🧵

— Blockaid (@blockaid_) May 27, 2026

Około 25 sekund później sfałszowana wiadomość cross-chain wyemitowała 5,4 bln vsdCRV na Arbitrum.

Atakujący sprzedał tokeny na Ethereum przez publiczny router MetaMaska. Nie znaleziono żadnej luki w smart kontrakcie.

Warto dodać, iż niedawny exploit LayerZero na KelpDAO również wykorzystał podobne nadużycie konfiguracji partnera mostu.

Znany schemat wycieku kluczy

Atak na Stake DAO przypomina atak na Wasabi Protocol z kwietnia. Wyciek klucza deployera pozwolił ukraść około 4,5 mln USD z sejfów na czterech blockchainach.

W tym samym miesiącu Drift Protocol na Solanie stracił 285 mln USD. KelpDAO na Arbitrum zamroził środki po wyłudzeniu 292 mln USD w ataku na most kilka tygodni później.

Każdy protokół miał audyty. Problem leżał ponad kodem – w kluczach ustawiających partnerów mostów lub upgrady. Resolv wyemitował 80 mln USD na początku roku w podobny sposób.

„Pytaniem, na które DeFi musi odpowiedzieć w 2026 roku, nie jest już to, czy protokoły się audytują, bo robi to niemal każdy. najważniejsze staje się to, czy niewielka grupa operacyjnych kluczy za tymi audytowanymi kontraktami… może wciąż istnieć jako jeden plik na jednym laptopie. Audyty nie odpowiadają już na najważniejsze pytanie.”

Dla Stake DAO i podobnych projektów ochrona portfelem multisig powinna stanowić barierę między kluczami deployera a fałszywą emisją. W przeciwnym razie kolejny atak na platformę DeFi będzie prowadził do jednego laptopa, a nie do złego kodu.

BeInCrypto Polska - Atak na Stake DAO pokazuje, dlaczego „audytowany” nie oznacza bezpieczny w DeFi

Idź do oryginalnego materiału
  1. Strona główna
  2. Kryptowaluty
  3. Atak na Stake DAO pokazuje, dlaczego „audytowany” nie oznacza bezpieczny w DeFi

Polecane

Jest komunikat episkopatu ws. edukacji zdrowotnej

Jest komunikat episkopatu ws. edukacji zdrowotnej

16 minut temu
Leon XIV za kierownicą najnowszego Ferrari! [+WIDEO]

Leon XIV za kierownicą najnowszego Ferrari! [+WIDEO]

35 minut temu
Marketing promocyjny przedmiotów zorientowany na zwrot z inwestycji (ROI) dla firm

Marketing promocyjny przedmiotów zorientowany na zwrot z inw...

36 minut temu
Dokumenty Zakonu św. Jana – kooperacja Watykanu i Malty

Dokumenty Zakonu św. Jana – kooperacja Watykanu i Malty

42 minut temu
Dzień Dziecka z Caritas Polska i z arcybiskupem Adrianem Galbasem

Dzień Dziecka z Caritas Polska i z arcybiskupem Adrianem Gal...

1 godzina temu
Bp Osial ostrzega: Edukacja zdrowotna podważa całą wizję wychowania opartą na prymacie małżeństwa i rodziny

Bp Osial ostrzega: Edukacja zdrowotna podważa całą wizję wyc...

1 godzina temu
Sztuczna inteligencja i człowiek. Kto naprawdę sprawuje kontrolę?

Sztuczna inteligencja i człowiek. Kto naprawdę sprawuje kont...

1 godzina temu
Laureat Pokojowej Nagrody Nobla Aleś Bialacki spotkał się z Leonem XIV

Laureat Pokojowej Nagrody Nobla Aleś Bialacki spotkał się z ...

1 godzina temu
Prawosławny duchowny pomagał Rosjanom naprowadzać rakiety. Został zatrzymany przez SBU

Prawosławny duchowny pomagał Rosjanom naprowadzać rakiety. Z...

1 godzina temu