Vụ tấn công Stake DAO vào thứ Tư đã khiến khóa deployer trên Arbitrum của giao thức này bị xâm phạm. Kẻ tấn công đã tạo ra khoảng 5.4 nghìn tỷ token Vote-Boosted sdCRV (vsdCRV) giả, sau đó đổi số lượng token này lấy ether thông qua một public router.
Lỗ hổng này đã vượt qua mọi cơ chế kiểm soát trên smart contract. Một khóa riêng có quyền đặc biệt đã gây ra thiệt hại hàng trăm triệu USD cho lĩnh vực DeFi chỉ riêng trong năm nay.
Cách vụ tấn công Stake DAO diễn ra
Các cảnh báo on-chain do Blockaid cung cấp đã theo dõi dấu vết lỗ hổng đến ví deployer của Stake DAO. Kẻ tấn công sử dụng khóa này để đặt lại cấu hình bridge LayerZero v2 cho vsdCRV.
Chỉ khoảng 25 giây sau, một thông điệp giả mạo đã được gửi qua chuỗi, tạo nên 5.4 nghìn tỷ token vsdCRV trên Arbitrum.
Kẻ tấn công đã bán tháo số token này lấy ether thông qua public router của MetaMask. Không phát hiện lỗi nào trong smart contract của giao thức.
Đáng chú ý, một vụ tấn công LayerZero gần đây trên KelpDAO cũng diễn ra theo cách lạm dụng cấu hình peer tương tự.
Mô hình lộ khóa đang lặp lại
Vụ tấn công Stake DAO diễn ra tương tự như sự cố rút Wasabi Protocol hồi tháng 04. Lúc đó, một ví deployer bị lộ đã lấy đi khoảng 4.5 triệu USD trên bốn chuỗi mạng.
Drift Protocol cũng từng mất 285 triệu USD trên Solana cùng trong tháng đó. KelpDAO trên Arbitrum bị đóng băng sau một vụ tấn công cầu nối trị giá 292 triệu USD chỉ vài tuần sau đó.
Mỗi giao thức đều đã được kiểm toán. Lỗi không phải ở mã nguồn, mà ở các khóa dùng để cấu hình cầu nối hoặc nâng cấp hệ thống. Resolv tạo ra 80 triệu USD token đầu năm nay cũng theo kịch bản tương tự.
“Câu hỏi mà DeFi cần trả lời vào năm 2026 không còn là các giao thức có được kiểm toán hay không, bởi gần như tất cả đều đã được kiểm toán. Điều quan trọng là liệu các bộ khóa vận hành đứng sau những hợp đồng đã kiểm toán đó… vẫn còn có thể được lưu trữ dưới dạng một file duy nhất trên một chiếc laptop hay không,” đồng sáng lập Sodot, Shalev Keren chia sẻ với BeInCrypto, cho biết kiểm toán không còn trả lời được vấn đề cốt lõi nữa.
Với Stake DAO và các dự án tương tự, giải pháp ví multisig cần phải là lớp bảo vệ nằm giữa khóa deployer và việc tạo token giả mạo. Nếu không, vụ tấn công tiếp theo trong DeFi sẽ lại bắt nguồn từ một chiếc laptop duy nhất, chứ không phải do lỗi mã nguồn.
