Beim Stake DAO-Angriff am Mittwoch wurde der Arbitrum-Deployer-Schlüssel des Protokolls kompromittiert. Ein Angreifer hat etwa 5,4 Billionen gefälschte Vote-Boosted sdCRV (vsdCRV) Token erstellt und diese anschließend über einen öffentlichen Router gegen Ether getauscht.
Der Angriff umging sämtliche vorhandenen Smart-Contract-Kontrollen. In diesem Jahr haben mehrere Hundert Millionen in DeFi allein deshalb Verluste erlitten, weil ein einzelner privater Schlüssel mit besonderen Rechten kompromittiert wurde.
So lief der Stake DAO-Angriff ab
On-Chain-Warnungen von Blockaid führten die Spur des Angriffs auf eine Stake DAO-Deployer-Wallet zurück. Mit Hilfe dieses Schlüssels konnte der Angreifer den LayerZero v2 Bridge Peer für vsdCRV zurücksetzen.
Rund 25 Sekunden später wurde durch eine gefälschte Cross-Chain-Nachricht 5,4 Billionen vsdCRV auf Arbitrum erstellt.
Der Angreifer tauschte die Token über den öffentlichen Router von MetaMask gegen Ether. Ein Fehler im Smart Contract wurde nicht festgestellt.
Bemerkenswert ist, dass ein kürzlich erfolgter LayerZero-Angriff auf KelpDAO durch eine ähnliche Manipulation der Peer-Konfiguration ausgeführt wurde.
Ein bekanntes Muster bei Schlüsselkompromittierungen
Der Stake DAO-Angriff folgt demselben Muster wie der Wasabi Protocol-Angriff im April. Dabei wurden mit einer kompromittierten Deployer-Wallet rund 4,5 Millionen USD aus Tresoren auf vier Blockchains abgezogen.
Im selben Monat verlor Drift Protocol auf Solana 285 Millionen USD. Wenige Wochen später wurde nach einem Brückenangriff in Höhe von 292 Millionen USD KelpDAO auf Arbitrum eingefroren.
Alle Protokolle hatten Sicherheitsprüfungen bestanden. Das Problem lag jedoch über dem Code: bei den Schlüsseln, die Bridge Peers festlegen oder Upgrades durchführen. Resolv’s 80-Millionen-USD-Prägung Anfang dieses Jahres lief ähnlich ab.
„Die Frage, die DeFi im Jahr 2026 beantworten muss, ist nicht mehr, ob Protokolle geprüft werden, denn das machen mittlerweile fast alle. Es geht um die kleine Menge an operativen Schlüsseln hinter den geprüften Verträgen, ob diese weiterhin als einzelnes Objekt auf einem einzelnen Laptop abgelegt werden dürfen”, sagte Sodot-Mitgründer Shalev Keren zu BeInCrypto und betonte, dass Audits die zentrale Frage nicht mehr beantworten.
Für Stake DAO und ähnliche Projekte müssen multisig Wallet-Sicherungen zwischen Deployer-Schlüsseln und gefälschten Prägungen eingesetzt werden. Andernfalls wird der nächste Kompromittierungsfall einer DeFi-Plattform wieder zu einem einzelnen Laptop zurückverfolgt, nicht zu fehlerhaftem Code.
