Stake DAO のエクスプロイトが示す、DeFi において「Audited」が安全を意味しない理由

📄原文全文· trafilatura により自動抽出Gemini 翻譯1976 文字

水曜日に発生したStake DAOの攻撃により、同プロトコルのArbitrumデプロイヤーキーが侵害された。攻撃者は約5.4兆枚の偽のVote-Boosted sdCRV (vsdCRV) トークンをミントし、パブリックルーターを通じてetherと交換した。この侵害は、導入されていたすべてのスマートコントラクト制御を回避した。特権を持つ単一の秘密鍵が、今年だけで数億ドル規模のDeFi損失を引き起こしている。 Stake DAOの攻撃はどのように発生したか Blockaidによるオンチェーンアラートは、この侵害がStake DAOのデプロイヤーウォレットに起因していることを突き止めた。攻撃者はそのキーを使用して、vsdCRVのLayerZero v2ブリッジピアをリセットした。約25秒後、偽造されたクロスチェーンメッセージにより、Arbitrum上で5.4兆枚のvsdCRVがミントされた。攻撃者はMetaMaskのパブリックルーターを通じてトークンをetherに換金した。スマートコントラクトの欠陥は見つかっていない。注目すべきは、最近KelpDAOで発生したLayerZeroの攻撃も、同様のピア設定の悪用によるものだったことである。キー侵害の馴染み深いパターン Stake DAOの攻撃は、4月に発生したWasabi Protocolの流出と同じテンプレートに従っている。侵害されたデプロイヤーウォレットが、4つのチェーン上のボールトから約450万ドルを引き出した。同月、Drift ProtocolはSolana上で2億8500万ドルの損失を出した。ArbitrumのKelpDAOの凍結は、その数週間後の2億9200万ドルのブリッジ攻撃に続いた。各プロトコルは監査を通過していた。失敗の原因はコードではなく、ブリッジピアの設定や実装のアップグレードを行うキーにあった。今年初めに発生したResolvの8000万ドルのミントも同様のケースである。「2026年にDeFiが答えなければならない問いは、もはやプロトコルが監査を受けているかどうかではない。なぜなら、ほぼすべてのプロトコルが監査を受けているからだ。その問いとは、監査済みのコントラクトを背後で操る少数の運用キーが……単一のノートパソコン上の単一のオブジェクトとして存在し続けることが許されるのかどうかだ」と、Sodotの共同創設者であるShalev KerenはBeInCryptoに語り、監査はもはや核心的な問いに対する答えにはならないと付け加えた。 Stake DAOとその同業者にとって、デプロイヤーキーと偽造ミントの間にマルチシグウォレットによる保護を導入する必要がある。さもなければ、次なるDeFiプラットフォームの侵害も、コードの不備ではなく、単一のノートパソコンに起因することになるだろう。

データステータス✓ 全文抽出済み原文を読む（BeInCrypto）

🔍過去の類似イベント· キーワード + 銘柄照合6 件

2026-04-22

2億9200万ドルの Kelp DAO のエクスプロイトは、なぜ crypto bridge が依然として業界の最も弱いリンクの一つであるかを示している

類似度 200%關鍵字 exploit/why/dao

2026-05-16

KelpDAOへの2億9,300万ドルのハッキング事件は、DeFiがついに成熟を迫られている理由を示している

類似度 180%關鍵字 why/defi/shows

2026-05-08

Kelp DAO のエクスプロイトを受け、DeFi プロトコルがオラクルプロバイダーの再考を迫られる

類似度 180%關鍵字 exploit/defi/dao

2026-04-29