Хакер воспользовался уязвимостью в протоколе StakeDAO и сгенерировал 5,4 триллиона токенов vsdCRV
CRV$0.2195+1.08%. Однако из-за отсутствия ликвидности злоумышленнику удалось вывести всего $91 000 — остальное оказалось «виртуальным» богатством.
Как хакер «напечатал» триллионы токенов
Специалисты по безопасности из PeckShield первыми заметили атаку. По их данным, злоумышленник провёл операцию через мост, переведя 43,7 ETH
ETH$2,052.84-0.63% в сеть Ethereum. Сама процедура заключалась в манипуляции смарт-контрактом, который отвечает за выпуск токенов vsdCRV — производного актива, обеспеченного стейблкоином crvUSD
CRVUSD$0.9984-0.05% от Curve Finance.
Это напоминает недавний инцидент, когда злоумышленник начеканил $13,5 млн необеспеченных токенов StablR.
В результате хакер смог «напечатать» колоссальное количество токенов, но реализовать их на рынке не вышло. Аналитик EmberCN отметил, что у большинства сгенерированных монет просто не было достаточной ликвидности для продажи. Это и ограничило реальный ущерб для протокола.
Почему $91 000 — это максимум, а не миллионы
Ключевая причина — структура рынка vsdCRV. Этот токен является узкоспециализированным деривативом, который торгуется в ограниченных пулах ликвидности. Даже теоретическая продажа триллионов монет обрушила бы цену до нуля до того, как хакер успел бы вывести значительную сумму.
PeckShield подчеркнули, что атака была технически сложной, но экономически неэффективной. Злоумышленник потратил ресурсы на эксплуатацию уязвимости, однако получил лишь малую часть от потенциальной выгоды. Это классический случай, когда математика DeFi-протокола сработала против хакера.
Ликвидность — главный барьер для массового вывода средств: даже миллиарды токенов бесполезны, если их некому купить.
Почему этот взлом — урок для всего DeFi
StakeDAO — это платформа для ликвидного стейкинга (блокировки монет для получения дохода) на базе Curve Finance. Подобные атаки на протоколы DeFi случаются регулярно, но данный случай выделяется необычным соотношением «напечатанного» объёма и реального ущерба.
Ранее Kelp DAO восстановил rsETH через 5 недель после взлома на $293 млн.
Для пользователей DeFi это напоминание о рисках, связанных с низколиквидными активами. Даже если протокол выпускает триллионы токенов, их реальная стоимость определяется глубиной рынка, а не эмиссией. В данном случае уязвимость была найдена, но рыночная механика предотвратила катастрофические потери.
Инцидент также поднимает вопросы о качестве аудита безопасности смарт-контрактов. Хотя ущерб оказался минимальным, сам факт возможности неограниченной эмиссии vsdCRV указывает на серьёзный пробел в коде протокола.
Остаётся открытым вопрос: сможет ли команда StakeDAO вернуть украденные $91 000 и какие меры будут приняты для предотвращения повторных атак? Пока что хакер остаётся на свободе, а средства — в его кошельке.