Eksploitasi Serius di Stake DAO
Stake DAO saat ini menghadapi eksploitasi yang serius terkait dengan token vsdCRV di jaringan Arbitrum. Perusahaan keamanan blockchain, Blockaid, melaporkan bahwa seorang penyerang berhasil mencetak lebih dari 5,4 triliun vsdCRV dan mulai menukarkan token tersebut menjadi ETH. Stake DAO telah mengonfirmasi bahwa mereka menyadari situasi ini dan meminta pengguna untuk tidak berinteraksi dengan vsdCRV. Peringatan ini dikeluarkan saat para peneliti terus melacak aktivitas penyerang di Arbitrum dan Ethereum.
“Kami menyadari situasi yang sedang berlangsung. Harap jangan berinteraksi dengan vsdCRV atau sdCRV yang ditingkatkan suara, yang terkait dengan ekosistem Curve Finance dan digunakan dalam produk hasil Stake DAO,” ungkap pihak Stake DAO.
Token ini menjadi pusat perhatian setelah penyerang diduga mendapatkan kontrol yang cukup untuk mencetak pasokan besar. Menurut PeckShield, sebagian dari dana yang dicetak telah ditukarkan menjadi 43,78 ETH, yang setara dengan sekitar $91.000, dan dijembatani ke Ethereum.
Detail Insiden dan Penyebab
Insiden ini masih berkembang, dan angka kerugian akhir mungkin berubah seiring dengan pelacakan lebih banyak transaksi. Blockaid mencurigai bahwa penyebab utama dari insiden ini adalah kunci pribadi deployer Stake DAO yang terkompromi. Penyerang diduga menggunakan akses tersebut untuk mengonfigurasi ulang peer LayerZero v2 OFT untuk kontrak token vsdCRV. Perubahan ini diduga mengalihkan kepercayaan dari adaptor sisi Ethereum yang sah ke kontrak jahat yang dikendalikan oleh penyerang.
Penyerang kemudian mengirim pesan lintas rantai yang dipalsukan, yang memicu pencetakan sekitar 5,44 triliun vsdCRV. BlockSec menggambarkan serangan ini sebagai kasus di mana penyerang tampaknya memperoleh kunci pribadi deployer dan menetapkan peer sembarangan untuk vsdCRV. Perusahaan tersebut menyatakan bahwa pesan yang dipalsukan kemudian menyebabkan pencetakan tanpa syarat ke alamat penyerang.
Risiko di DeFi dan Insiden Terkait
Insiden ini menunjukkan bagaimana akses istimewa tetap menjadi risiko besar di DeFi. Meskipun kode kontrak pintar berfungsi seperti yang dirancang, kunci deployer yang terkompromi dapat memberikan penyerang kemampuan untuk mengubah pengaturan yang dipercaya dan memicu kerugian.
Eksploitasi Stake DAO mengikuti serangkaian insiden DeFi terbaru. Seperti yang dilaporkan sebelumnya oleh crypto.news, salah satu pendiri OpenZeppelin, Manuel Aráoz, menyatakan bahwa ia kini menganggap “semua DeFi” tidak aman dan telah menyarankan teman serta keluarganya untuk keluar dari posisi DeFi. Aráoz berpendapat bahwa agen pengkodean menjadi alat yang kuat untuk menemukan kerentanan, sementara para pengembang masih perlu memperbaiki setiap kelemahan sebelum penyerang menemukannya.
Secara terpisah, Wasabi Protocol kehilangan lebih dari $5 juta di Ethereum, Base, Berachain, dan Blast setelah kunci admin yang terkompromi memungkinkan penyerang untuk meningkatkan kontrak dan menguras dana. Kasus ini mirip dengan kekhawatiran Stake DAO saat ini, karena kedua insiden melibatkan akses kunci istimewa, bukan sekadar peristiwa manipulasi pasar sederhana. Wasabi juga memperingatkan pengguna untuk tidak berinteraksi dengan kontraknya sementara tim menyelidiki.
Risiko Token Lintas Rantai
Insiden Stake DAO juga mengarah kembali ke risiko token lintas rantai. Laporan keamanan telah melacak serangan berulang yang melibatkan jembatan, pengaturan peer, dan validasi pesan di seluruh rantai pada tahun 2026. Ringkasan keamanan BlockSec bulan Mei mencatat beberapa insiden di Ethereum, Sui, BNB Chain, Base, Blast, dan Berachain, dengan total kerugian sekitar $15,9 juta dalam periode dua minggu.
Blog tersebut juga mengidentifikasi Wasabi sebagai kasus kompromi kunci. Pada bulan April, Kelp DAO mengalami salah satu eksploitasi DeFi terbesar tahun ini setelah penyerang menguras sekitar $292 juta dari jembatan yang didukung LayerZero. Pelanggaran ini menimbulkan kekhawatiran tentang dukungan aset lintas rantai di lebih dari 20 jaringan.
