Exploit Stake DAO Tunjukkan Mengapa “Audited” Tidak Selalu Berarti Aman di Decentralized Finance

Eksploitasi Stake DAO pada hari Rabu membahayakan kunci deployer Arbitrum milik protokol tersebut. Seorang penyerang mencetak sekitar 5,4 triliun token Vote-Boosted sdCRV (vsdCRV) palsu sebelum menukarkannya menjadi ether melalui public router.

Pelanggaran ini berhasil melewati semua pengamanan smart-contract yang sudah ada. Satu kunci pribadi dengan hak istimewa telah menyebabkan kerugian ratusan juta di dunia DeFi tahun ini.

Bagaimana Eksploitasi Stake DAO Terjadi

Notifikasi on-chain dari Blockaid melacak pelanggaran ini ke wallet deployer milik Stake DAO. Penyerang memakai kunci tersebut untuk mengatur ulang peer bridge LayerZero v2 untuk vsdCRV.

Sekitar 25 detik kemudian, pesan lintas chain palsu telah mencetak 5,4 triliun vsdCRV di Arbitrum.

Penyerang melakukan dump token tersebut menjadi ether melalui public router MetaMask. Tidak ditemukan celah pada smart-contract.

Yang menarik, eksploitasi LayerZero terbaru di KelpDAO juga terjadi lewat penyalahgunaan konfigurasi peer yang serupa.

Pola Kompromi Kunci yang Sudah Sering Terjadi

Eksploitasi Stake DAO mengikuti pola seperti pembobolan Wasabi Protocol pada bulan April. Wallet deployer yang berhasil diretas menarik sekitar US$4,5 juta dari vault di empat chain.

Pada bulan yang sama, Drift Protocol kehilangan US$285 juta di Solana. Pembekuan KelpDAO di Arbitrum terjadi setelah bridge terkena eksploitasi sebesar US$292 juta beberapa minggu kemudian.

Setiap protokol sudah lolos audit. Permasalahannya ternyata bukan di kode, tapi di kunci yang mengatur setup bridge peer atau upgrade. Kasus pencetakan dana US$80 juta Resolv tahun ini juga menunjukkan pola yang sama.

Bagi Stake DAO dan protokol lain, perlindungan wallet multisig harus menjadi lapisan antara deployer key dan mint palsu. Jika tidak, kompromi DeFi berikutnya tetap akan bermula dari satu laptop, dan bukan dari kode yang buruk.