Het Stake DAO-exploit op woensdag zorgde ervoor dat de Arbitrum deployer-sleutel van het protocol werd gecompromitteerd. Een aanvaller mintte ongeveer 5,4 biljoen nep Vote-Boosted sdCRV (vsdCRV) tokens en ruilde deze daarna via een openbare router om voor ether.
De inbreuk omzeilde alle bestaande smart contract-controles. Eén enkele privésleutel met privileges heeft dit jaar al voor honderden miljoenen aan DeFi-verliezen gezorgd.
Hoe het Stake DAO-exploit kon gebeuren
On-chain waarschuwingen van Blockaid herleidden de inbreuk naar een Stake DAO deployer-wallet. De aanvaller gebruikte de sleutel om de LayerZero v2 bridge peer voor vsdCRV te resetten.
Ongeveer 25 seconden later zorgde een vervalst cross-chain bericht ervoor dat er 5,4 biljoen vsdCRV op Arbitrum werd gemint.
De aanvaller verkocht de tokens voor ether via de openbare router van MetaMask. Er is geen fout in het smart contract gevonden.
Opvallend genoeg vond een recent LayerZero-exploit op KelpDAO plaats door vergelijkbaar misbruik van peer-configuratie.
Een herkenbaar patroon van sleutel-compromittering
Het Stake DAO-exploit lijkt sterk op de Wasabi Protocol-drain van april. Daar werd ook een gecompromitteerde deployer-wallet gebruikt om ongeveer $4,5 miljoen uit kluizen op vier chains te halen.
Drift Protocol verloor diezelfde maand $285 miljoen op Solana. De bevriezing van Arbitrum’s KelpDAO volgde weken later na een brug-exploit van $292 miljoen.
Elk protocol had een audit doorstaan. De fout lag niet in de code, maar bij de sleutels die brug-peers instellen of upgrades uitvoeren. Resolv’s mint van $80 miljoen eerder dit jaar had hetzelfde patroon.
“De vraag die DeFi in 2026 moet beantwoorden is niet meer of protocollen geaudit worden, want bijna allemaal doen ze dat. Het gaat erom of het kleine groepje operationele sleutels achter die geaudite contracten… nog steeds als één object op één laptop mag bestaan,” vertelde Sodot-medeoprichter Shalev Keren aan BeInCrypto. Hij voegde eraan toe dat audits niet langer de centrale vraag beantwoorden.
Voor Stake DAO en vergelijkbare protocollen zijn multisig-wallet-bescherming nodig tussen de deployer-sleutels en valse mints. Anders zal de volgende DeFi-platformcompromittering weer terug te leiden zijn naar één laptop, niet naar slechte code.
