Stake DAO 익스플로잇은 DeFi에서 "감사 완료(Audited)"가 안전을 의미하지 않는 이유를 보여준다

ORIGINALStake DAO Exploit Shows Why “Audited” Doesn’t Mean Safe In DeFi

AI 영향 분석Grok 분석 중...

📄전체 원문· trafilatura에 의해 자동 추출됨Gemini 翻譯1976 자

수요일 발생한 Stake DAO 익스플로잇으로 프로토콜의 Arbitrum 배포자 키가 탈취되었다. 공격자는 약 5.4조 개의 가짜 Vote-Boosted sdCRV(vsdCRV) 토큰을 발행한 뒤, 공개 라우터를 통해 이더로 스왑했다. 이번 침해는 작동 중이던 모든 스마트 컨트랙트 통제를 우회했다. 권한이 부여된 단일 프라이빗 키 하나가 올해 DeFi에서 수억 달러 규모의 손실을 야기했다. Stake DAO 익스플로잇은 어떻게 발생했나 Blockaid의 온체인 경보는 침해의 출처를 Stake DAO 배포자 지갑으로 추적했다. 공격자는 해당 키를 사용해 vsdCRV의 LayerZero v2 브리지 피어를 재설정했다. 약 25초 후, 위조된 크로스체인 메시지가 Arbitrum 상에서 5.4조 개의 vsdCRV를 발행했다. 공격자는 MetaMask의 공개 라우터를 통해 해당 토큰을 이더로 매도했다. 스마트 컨트랙트 결함은 발견되지 않았다. 주목할 점은, 최근 KelpDAO에서 발생한 LayerZero 익스플로잇 또한 유사한 피어 구성 악용을 통해 일어났다는 것이다. 반복되는 키 탈취 패턴 Stake DAO 익스플로잇은 4월에 발생한 Wasabi Protocol 자금 유출과 동일한 양상을 따른다. 탈취된 배포자 지갑이 네 개 체인의 볼트에서 약 450만 달러를 빼냈다. 같은 달 Drift Protocol은 Solana에서 2억 8,500만 달러를 잃었다. 몇 주 뒤 Arbitrum의 KelpDAO 동결은 2억 9,200만 달러 규모의 브리지 익스플로잇 이후 이어졌다. 각 프로토콜은 모두 감사를 통과했다. 실패 지점은 코드 위, 즉 브리지 피어를 설정하거나 구현체를 업그레이드하는 키에 있었다. 올해 초 Resolv의 8,000만 달러 발행 사건도 같은 틀에 들어맞는다. "2026년 DeFi가 답해야 할 질문은 더 이상 프로토콜이 감사받았는지 여부가 아니다. 거의 모두 감사를 받기 때문이다. 문제는 그 감사받은 컨트랙트 뒤에 있는 소수의 운영 키들이… 여전히 단일 노트북에 단일 객체로 존재하도록 허용되고 있느냐는 것이다,"라고 Sodot의 공동 창업자 Shalev Keren은 BeInCrypto에 말하며, 감사가 더 이상 핵심 질문에 답하지 못한다고 덧붙였다. Stake DAO와 동종 프로토콜들에게는, 배포자 키와 위조된 발행 사이에 멀티시그 지갑 보호가 자리 잡아야 한다. 그렇지 않으면 다음 DeFi 플랫폼 침해 역시 부실한 코드가 아닌 단일 노트북으로 거슬러 올라갈 것이다.

데이터 상태✓ 전체 내용 추출 완료원문 읽기 (BeInCrypto)

🔍과거 유사 사건· 키워드 + 종목 매칭6 건

2026-04-22

2억 9,200만 달러 규모의 Kelp DAO 익스플로잇은 왜 crypto bridge가 여전히 업계에서 가장 취약한 고리 중 하나인지를 보여줍니다.

유사도 200%關鍵字 exploit/why/dao

2026-05-16

2억 9,300만 달러 규모의 KelpDAO 해킹은 DeFi가 마침내 성장해야만 하는 이유를 보여준다

유사도 180%關鍵字 why/defi/shows

2026-05-08

Kelp DAO 해킹 사태로 인해 DeFi 프로토콜들이 oracle provider를 재고하게 됨

유사도 180%關鍵字 exploit/defi/dao

2026-04-29