Stake DAO protokolünde meydana gelen bir güvenlik açığı, protokolün Arbitrum deployer anahtarının ele geçirilmesine neden oldu. Saldırgan, yaklaşık 5,4 trilyon adet sahte Vote-Boosted sdCRV (vsdCRV) token'ı oluşturarak bu token'ları birleştirilmiş bir router üzerinden ether ile takas etti. Bu durum, mevcut tüm akıllı kontrat kontrollerini devre dışı bıraktı. Bu yıl DeFi alanında yüzlerce milyon dolarlık kayıplara yol açan bu saldırının temelinde, ayrıcalıklı haklara sahip tek bir özel anahtarın yetkisiz kullanımı yatıyor.

Blockaid'in zincir üstü uyarıları, ihlalin bir Stake DAO deployer cüzdanından kaynaklandığını ortaya koydu. Saldırgan, ele geçirdiği anahtarı kullanarak vsdCRV için LayerZero v2 köprü eşini sıfırladı. Bu saldırı, yaklaşık 25 saniye içinde sahte zincirler arası bir mesajla Arbitrum'da 5,4 trilyon vsdCRV'nin basılmasıyla gerçekleşti. Saldırgan, bu token'ları MetaMask'in herkese açık router'ı üzerinden ether'e dönüştürdü. Hiçbir akıllı kontrat açığına rastlanmadı. KelpDAO'da daha önce yaşanan benzer bir LayerZero hack'i de peer-konfigürasyonu manipülasyonu ile gerçekleştirilmişti.

Stake DAO exploit'i, Nisan ayında Wasabi Protocol'de yaşanan soyguna benzer bir tablo çiziyor. Ele geçirilen bir deployer cüzdanı, dört farklı blockchain'deki vault'lardan yaklaşık 4,5 milyon dolar çekmişti. Benzer şekilde, Drift Protocol Solana'da 285 milyon dolar kaybederken, Arbitrum'daki KelpDAO dondurması haftalar sonra yaşanan 292 milyon dolarlık köprü exploit'inin ardından geldi. Her protokolün denetimlerden başarıyla geçtiği belirtilmiş olsa da, sorun denetimlerde değil, kodun üzerinde; köprü peer'larını veya upgrade işlemlerini yetkilendiren anahtarlardaydı. Resolv'un bu yıl başındaki 80 milyon dolarlık token basımı da aynı kalıba uydu.

BeInCrypto'ya konuşan Sodot kurucu ortağı Shalev Keren, '2026'da DeFi'nin cevabını bulması gereken soru artık protokollerin denetlenip denetlenmediği değil. Zira çoğu zaten denetleniyor. Asıl soru, o denetimli sözleşmelerin arkasında kalan az sayıdaki operasyonel anahtarın… tek bir dizüstü bilgisayarda tek bir obje olarak yaşamaya devam edip etmeyeceği. Çünkü denetimler artık merkezi soruya yanıt vermiyor' dedi.

Stake DAO ve benzer projeler için multisig cüzdan korumaları hem deployer anahtarları hem de sahte token basımları arasına konulmalı. Aksi takdirde bir sonraki DeFi platform hack'i yine kötü bir koda değil, tek bir dizüstü bilgisayara bağlanacak. Stake DAO saldırısı: “Denetlendi” demek DeFi’de güvenli anlamına gelmiyor maddesi ilk