Stake DAO एक्सप्लॉइट ने दिखाया, DeFi में ‘Audited’ होना सुरक्षित होने की गारंटी नहीं

के द्वारा लिखा और edit किया गया

प्रकाशित:27 मई 2026, 12:32 UTC

हमलावर ने Stake DAO के Arbitrum डिप्लॉयर key पर कब्ज़ा कर 5.4 ट्रिलियन vsdCRV मिंट किए
LayerZero ब्रिज का peer मिंट से पहले एक malicious Ethereum कॉन्ट्रैक्ट पर रीपॉइंट किया गया
Wasabi, Drift और KelpDAO एक्सप्लॉइट्स जैसी घटना, सिंगल-की कंट्रोल के कारण

बुधवार को हुए Stake DAO एक्सप्लॉइट में प्रोटोकॉल के Arbitrum डिप्लॉयर की की (key) को हैक कर लिया गया। हमलावर ने करीब 5.4 ट्रिलियन फर्जी Vote-Boosted sdCRV (vsdCRV) टोकन मिंट कर लिए और फिर इन्हें पब्लिक राउटर के जरिए ईथर में स्वैप कर लिया।

इस ब्रीच में सभी स्मार्ट-कॉन्ट्रैक्ट कंट्रोल्स को बायपास कर दिया गया था। केवल एक प्राइवेट की, जिसे खास अधिकार प्राप्त थे, की वजह से इस साल DeFi में करोड़ों $ की लॉस हो चुकी है।

Stake DAO एक्सप्लॉइट कैसे हुआ?

On-chain अलर्ट्स (Blockaid से) के जरिए ब्रीच को Stake DAO के डिप्लॉयर वॉलेट तक ट्रेस किया गया। हमलावर ने इस key का इस्तेमाल कर LayerZero v2 ब्रिज पीयर को vsdCRV के लिए रीसेट किया।

🚨 Blockaid detected an ongoing exploit targeting@StakeDAOHQ on Arbitrum.

The attacker just minted over 5.4 trillion vsdCRV and is actively swapping it for ETH.

More details in 🧵
— Blockaid (@blockaid_) May 27, 2026

करीब 25 सेकंड बाद, एक फर्जी क्रॉस-चेन मेसेज के जरिये Arbitrum पर 5.4 ट्रिलियन vsdCRV मिंट कर लिए गए।

हमलावर ने ये टोकन्स ईथर में डंप कर दिए MetaMask के पब्लिक राउटर के जरिए। कोई स्मार्ट-कॉन्ट्रैक्ट फ्लॉ नहीं मिला।

ध्यान देने वाली बात है कि हाल में LayerZero एक्सप्लॉइट KelpDAO पर भी इसी तरह के पीयर कन्फ़िगरेशन के दुरुपयोग से हुआ था।

कई बार दोहराया गया Key Compromises का पैटर्न

Stake DAO एक्सप्लॉइट वही पैटर्न फॉलो करता है जैसी April में Wasabi Protocol की हैकिंग हुई थी। डिप्लॉयर वॉलेट हैक करके चार चेन की वॉल्ट्स से लगभग $4.5 मिलियन निकाले गए थे।

उसी महीने Drift Protocol ने Solana पर $285 मिलियन का नुकसान देखा। Arbitrum के KelpDAO को फ्रीज भी $292 मिलियन ब्रिज एक्सप्लॉइट के कुछ हफ्ते बाद हुआ।

हर एक प्रोटोकॉल ने ऑडिट पास किया था। लेकिन असली चूक कोड में नहीं, बल्कि उन keys में थी जो ब्रिज पीयर सेट करती हैं या अपग्रेड इम्प्लीमेंटेशन करती हैं। Resolv के $80 मिलियन मिंट का मामला भी इसी तरह से हुआ था।

“DeFi को 2026 में खुद से यह सवाल पूछना होगा कि अब मुद्दा यह नहीं रह गया है कि प्रोटोकॉल्स का ऑडिट हुआ है या नहीं, क्योंकि अब लगभग सभी का होता ही है। असली सवाल यह है कि ऑडिटेड कॉन्ट्रैक्ट्स के पीछे जो कुछ ही operational keys होती हैं… क्या उन्हें अब भी एक ही लैपटॉप पर सिंगल ऑब्जेक्ट की तरह रखना सही है?” Sodot के को-फाउंडर Shalev Keren ने BeInCrypto को बताया, साथ ही यह भी कहा कि ऑडिट अब केंद्रीय सवाल का जवाब नहीं है।

Stake DAO और बाकी प्रोटोकॉल्स के लिए मल्टीसिग वॉलेट प्रोटेक्शन को डिप्लॉयर keys और फर्जी मिंट्स के बीच लगाया जाना चाहिए। वरना अगला DeFi प्लेटफॉर्म कम्प्रोमाइज़ फिर से उसी एक लैपटॉप तक पहुंच जाएगा, न कि खराब कोड तक।

हमारी वेबसाइट पर सभी जानकारी अच्छे इरादे से और केवल सामान्य सूचना के उद्देश्य से प्रकाशित की जाती है, ताकि पाठक जागरूक रह सकें। हमारी वेबसाइट पर दी गई जानकारी के आधार पर पाठक द्वारा की गई प्रत्येक कार्रवाई पूरी तरह से उनके अपने जोखिम पर होती है। कृपया हमारी नियम और शर्तें, गोपनीयता नीति और अस्वीकरण पढ़ें।