Stake DAOにおける水曜日の不正アクセスで、プロトコルのArbitrumデプロイヤーキーが流出した。攻撃者は約5兆4000億枚の偽Vote-Boosted sdCRV(vsdCRV)トークンをミント後、パブリックルーターを使いイーサと交換した。
今回の侵害は、全てのスマートコントラクトによる制御を回避した。特権権限を持つ単独の秘密鍵が、今年DeFiで数百億ドル規模の損失を招いている。
Stake DAO流出の経緯
Blockaidによるオンチェーンアラートで、被害はStake DAOのデプロイヤーウォレットに起因することが判明した。攻撃者はこのキーを使い、vsdCRVのLayerZero v2ブリッジピアをリセットした。
約25秒後、不正なクロスチェーンメッセージでArbitrum上に5兆4000億枚のvsdCRVがミントされた。
攻撃者はこれらのトークンをMetaMaskのパブリックルーターを通じてイーサに換金した。スマートコントラクトの脆弱性は確認されていない。
注目すべきは、最近KelpDAOで起きたLayerZeroの不正流出も、ピア設定の悪用による同様の手口であった点である。
頻発するキーハッキングの構図
今回のStake DAOの被害は、4月のWasabi Protocol流出と同じ手口である。侵害されたデプロイヤーウォレットから、4つのチェーンのボールトから約450万ドルが引き出された。
同月にはDrift Protocolがソラナ上で2億8500万ドルを喪失。ArbitrumによるKelpDAO凍結も、数週間後に2億9200万ドル規模のブリッジ攻撃を受けている。
各プロトコルはいずれも監査を通過していた。不備はコードではなく、ブリッジピアやアップグレード管理を担うキーにあった。今年初めのResolvでの8000万ドルのミントも同様である。
「2026年、DeFi業界が答えるべき中心的問いは『プロトコルが監査を受けたか』ではない。なぜなら、ほとんど全てがすでに監査されているからだ。本当に問うべきは、監査済みのコントラクトを支える少数の運用キーが…一台のノートパソコンに単独で保管され続けているかどうかである」と、Sodot共同創業者シャレブ・ケレン氏はBeInCryptoに語り、監査だけでは本質的な問題解決にならないと付け加えた。
Stake DAOおよび関連プロトコルには、マルチシグ・ウォレットによる保護をデプロイヤーキーと不正なミントの間に設置する必要がある。さもなければ、次なるDeFiプラットフォームの流出も脆弱なコードではなく、1台のノートパソコンに起因することになる。
