Ein massiver Exploit traf Stake DAO am Mittwoch. Ein Angreifer stahl den Arbitrum Deployer-Key und prägte daraufhin 5,4 Billionen vsdCRV-Token. Diese gefälschten Assets wurden über einen öffentlichen Router schnell gegen Ether getauscht.
Mechanik des Stake DAO Angriffs
Die On-Chain-Daten von Blockaid belegen den Diebstahl eines privilegierten Deployer-Wallets. Der Hacker nutzte diesen Zugriff, um den LayerZero v2 Bridge Peer für vsdCRV zurückzusetzen. Damit wurde die Verbindung zu einem bösartigen Ethereum-Kontrakt umgeleitet.
Nur 25 Sekunden nach der Manipulation erfolgte die Prägung der 5,4 Billionen vsdCRV-Token auf Arbitrum. Der Angreifer nutzte den MetaMask Public Router für den Tausch in Ether. Ein Fehler im Smart Contract existierte nicht.
Dieser Vorfall spiegelt die Schwachstelle der LayerZero-Konfiguration wider. Ein ähnlicher Missbrauch der Peer-Konfiguration führte bereits zu einem massiven Freeze bei KelpDAO. Die Angreifer zielen gezielt auf die administrative Ebene der Protokolle ab.
Die aktuelle Marktlage zeigt eine allgemeine Schwäche. Bitcoin notiert bei 75.081 USD mit einem Minus von 2,11 Prozent. Ethereum sank zeitgleich um 2,26 Prozent auf 2.063,68 USD, was die Volatilität während solcher Sicherheitsvorfälle unterstreicht.
Die Daten belegen, dass privilegierte Schlüssel die größte Gefahr darstellen. Während der Code oft geprüft ist, bleiben die Schlüssel oft ungeschützt. Ein einziger Laptop-Zugriff reichte hier aus, um das gesamte System zu kompromittieren.
Systemisches Risiko durch Single-Key-Control
Der Stake DAO Exploit folgt einem Muster aus dem April. Das Wasabi Protocol verlor damals 4,5 Millionen USD aus Vaults auf vier verschiedenen Chains. Auch dort war ein kompromittierter Deployer-Key die Ursache für den Verlust.
Drift Protocol verzeichnete im selben Monat einen Verlust von 285 Millionen USD auf Solana. KelpDAO erlitt kurz darauf einen Bridge-Exploit im Wert von 292 Millionen USD. Alle betroffenen Projekte hatten zuvor erfolgreiche Sicherheits-Audits durchlaufen.
„Die Frage für DeFi im Jahr 2026 ist nicht mehr, ob Protokolle auditiert werden, sondern ob operative Schlüssel als einzelnes Objekt auf einem Laptop existieren"
Resolv verlor Anfang des Jahres 80 Millionen USD durch einen ähnlichen Mint-Exploit. Diese Zahlen zeigen, dass Audits die operationelle Sicherheit nicht garantieren. Die Gefahr liegt in der zentralisierten Kontrolle über administrative Funktionen.
Analysten fordern nun zwingend den Einsatz von Multi-Signature-Wallets. Diese müssen zwischen Deployer-Keys und kritischen Aktionen wie Mints stehen. Ohne diese Hürden bleiben DeFi-Plattformen anfällig für einfache Key-Diebstähle durch Hacker.
Fazit: Audits schützen nicht vor Key-Diebstahl
Für dich bedeutet dieser Vorfall, dass ein Audit-Zertifikat keine absolute Sicherheit garantiert. Prüfe bei deinen DeFi-Investments, ob die Projekte Multi-Signature-Wallets nutzen oder ob einzelne Keys volle Macht besitzen. Das Risiko liegt oft außerhalb des Codes.
Sichere deine eigenen Assets in Hardware-Wallets. Überprüfe regelmäßig, welche Berechtigungen du Smart Contracts gegeben hast. In einem Marktumfeld mit fallenden Preisen wie bei ETH (-2,26%) wiegen solche Sicherheitsrisiken doppelt schwer.
Quelle: BeInCrypto EN
