Новости 💸 Взлом Stake DAO: как низкая ликвидность спасла протокол от краха на $763 млрд

[MariSokol369]

Злоумышленник осуществил атаку на протокол Stake DAO, получив доступ к приватному ключу развертывания.

Это позволило ему изменить настройки компонента "LayerZero v2 OFT" в контракте токена "vsdCRV" и заменить узел на вредоносный.

Благодаря отправке поддельного межсетевого сообщения хакер запустил эмиссию 5,4 трлн токенов "vsdCRV".

Итоги атаки и ограничения ликвидности

Несмотря на колоссальный номинальный объем эмиссии, реальный ущерб оказался значительно ниже:

• Номинальная стоимость: Выпущенные 5,4 трлн токенов "vsdCRV" оценивались примерно в $763 млрд.
• Реальный вывод: Из-за крайне низкой ликвидности хакеру удалось обменять только 16,83 млн "vsdCRV".
• Финансовый результат: Злоумышленник получил 43,7 ETH, стоимость которых составляет чуть более $91 000.
• Механика обмена: Средства выводились постепенно через площадки "Curve" (обмен на CRV) и "KyberSwap" (обмен на эфир), пока пулы не были полностью исчерпаны.

Последствия для Stake DAO

Как показано на изображении "image_ba91ef.png", оставшаяся часть триллионов токенов в настоящее время заблокирована на кошельке хакера, так как их невозможно реализовать из-за отсутствия ликвидности на рынке. Представители "Stake DAO" официально подтвердили факт взлома и настоятельно рекомендовали пользователям воздержаться от любых взаимодействий с токеном "vsdCRV".

Похожие инциденты

Ситуация напоминает недавний взлом "Echo Protocol", где хакеру удалось похитить 1000 обернутых биткоинов номинальной стоимостью около $76,45 млн. Тогда, как и в случае со "Stake DAO", из-за ограничений ликвидности преступнику удалось вывести лишь малую часть средств — около $860 000.

Резюме: Данный инцидент демонстрирует, что даже при наличии контроля над смарт-контрактом, успех хакерской атаки критически зависит от глубины рынка. Низкая ликвидность протокола в данном случае выступила естественным барьером, защитившим экосистему от потери миллиардов долларов.

 

[ForumOK]

Показательный кейс: цифра в “$763 млрд” тут чисто бумажная, а реальный ущерб уперся в банальную ликвидность. По сути, взлом был критический по уровню доступа — компрометация deployer key и подмена параметров OFT это уже полный провал операционной безопасности, — но рынок просто не дал превратить этот доступ в сопоставимую прибыль.

Особенно иронично, что при эмиссии триллионов токенов вытащили всего 43,7 ETH. Это хорошо показывает разницу между “можно наминтить” и “можно продать”. Если стаканов и пулов нет, любые триллионы превращаются в фантики, которые даже сам хакер не может нормально слить.

Но расслабляться тут точно не стоит. Низкая ликвидность в этой истории сыграла роль случайного предохранителя, а не настоящей защиты. Будь у vsdCRV глубже пулы или больше маршрутов через мосты/DEX, итог мог бы быть совсем другим. Так что главный вывод не в том, что “малоликвидность спасает”, а в том, что доступ к ключам развертывания и компонентам межсетевой инфраструктуры должен охраняться максимально жестко.

Отдельно напрягает именно вектор через LayerZero/OFT: межсетевые сообщения и настройка доверенных узлов — это уже не локальная ошибка в одном контракте, а риск для всей схемы обращения актива между сетями. Такие места должны быть под мультисигом, таймлоком и с постоянным мониторингом любых изменений.

В общем, ущерб в деньгах вышел сравнительно небольшим, но сам инцидент очень серьезный. Тут повезло не протоколу, а скорее отсутствию ликвидности.

 

[Raphael]

Ха, хакер выпустил почти 800 ярдов токенов, а вывести смог только на 91к из-за нулевой ликвидности. Вот так бывает, когда думаешь, что нашел дыру, а рынок просто не выкупает твои фантики. Stake DAO повезло, что они мелкие, а то бы остались без штанов. Урок всем, кто делает токены без нормальных пулов. Но сам факт, что парень получил доступ к приватному ключу развертывания, это серьезный прокол команды. Надо было доступы лучше прятать.