Un exploit ciblant Stake DAO a été signalé par des chercheurs en sécurité : un attaquant a compromis la clé déployeur du protocole sur Arbitrum et a émis 5,4 billions de jetons vsdCRV avant de les échanger activement contre de l’ETH. L’opération, encore en cours au moment des premières alertes, illustre une fois de plus la vulnérabilité des protocoles DeFi aux compromissions de clés privées.
En bref
L’attaquant a exploité un accès à la clé déployeur de Stake DAO pour créer une quantité astronomique de vsdCRV. Selon les chercheurs de Blockaid qui ont détecté l’incident, la frappe de 5 400 000 000 000 jetons s’est produite sur le réseau Arbitrum. Ces jetons ont ensuite été partiellement convertis en ETH via des échanges décentralisés, rendant la récupération immédiate peu probable.
Comment l’attaquant a-t-il pu minter autant de jetons ?
La compromission porte sur la clé déployeur du contrat vsdCRV, soit la clé privée du compte ayant initialement déployé le smart contract. Détenir cette clé confère en général des droits d’administration élargis, dont la capacité de frapper de nouveaux jetons sans contrainte de volume. C’est précisément ce vecteur, une défaillance de contrôle des accès plutôt qu’une faille dans le code audité, que l’incident met en lumière.
Ce type d’attaque rappelle des précédents bien documentés dans l’écosystème. En 2022, le contre-exploit de Wormhole avait permis de récupérer 225 M$ après une compromission comparable. Plus récemment, l’exploit TrustedVolumes sur 1inch avait vidé 5,9 M$ en ETH et BTC, pointant là aussi vers une mauvaise gestion des privilèges dans un contrat déployé.
Pourquoi les audits ne suffisent-ils pas à prévenir ce genre d’attaque ?
La question est centrale. Stake DAO est un protocole audité. Pourtant, un audit de code ne couvre pas la sécurité opérationnelle des clés privées utilisées après le déploiement. Si la clé déployeur n’est pas révoquée ou transférée vers un multi-sig après la mise en production, elle reste un point de défaillance unique.
Ce schéma n’est pas nouveau. La vulnérabilité fondamentale du Proof-of-Stake d’Ethereum avait déjà soulevé des questions similaires sur la concentration de contrôle dans des architectures supposément décentralisées. Plus largement, plusieurs blockchains Proof of Stake ont subi des dommages liés à des compromissions de clés de validation.
Un protocole peut avoir un code sans faille et rester vulnérable si ses clés d’administration ne sont pas gérées rigoureusement. La solution est connue : multisig, timelocks, révocation des droits déployeur post-lancement. Son application reste insuffisante.
Quel est l’impact réel sur les utilisateurs de Stake DAO ?
Au stade des premières alertes, le montant exact des pertes en ETH n’est pas connu. Ce qui est établi : l’attaquant a converti une partie des vsdCRV mintés en ETH natif via des DEX, ce qui implique une pression vendeuse réelle sur le jeton CRV sous-jacent et une dilution totale de la valeur du vsdCRV. Les détenteurs de vsdCRV se retrouvent avec un actif dont l’offre vient de passer de quelques millions à 5 400 milliards d’unités.
« La clé déployeur de Stake DAO sur Arbitrum a été compromise, permettant à un attaquant de minter 5,4 billions de vsdCRV dans un cas typique de défaillance de contrôle des accès. » (traduit de l’anglais, d’après les éléments disponibles au moment des alertes initiales)
Ce type d’incident touche aussi des protocoles de plus petite taille. L’exploit sur StablR avait impliqué jusqu’à 10 M$ via les tokens EURR et USDR. Et Litecoin avait subi 13 blocs effacés après un exploit sur MWEB, rappelant que les vecteurs d’attaque dépassent largement la seule DeFi Ethereum.
À retenir
L’exploit Stake DAO sur Arbitrum met en cause non pas le code audité du protocole, mais la sécurité opérationnelle de sa clé déployeur. La conversion partielle des vsdCRV mintés en ETH complique toute récupération. À surveiller : la réponse officielle de Stake DAO et l’éventuelle identification on-chain de l’attaquant par les équipes de sécurité.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash