Aki azt hitte, hogy a DeFi végre felnőtt és maga mögött hagyta a vadnyugati hacker-korszakot, az most kapott egy jókora gyomrost. A támadók egyszerűen gyorsabban szintet léptek, mint a védelem.
A Stake DAO héten történt meglékelése egy tökéletes esettanulmány arra, hogyan változott meg a rablások stílusa a kriptóban.
A szektor ma már nem annyira a régi, hibás kódok miatt tűnik veszélyesnek, hanem sokkal rémisztőbb az, amikor emberi mulasztásokból és a mesterséges intelligencia által adott új támadási előnyből kevernek halálos koktélt a rosszindulatú szereplők.
StakeDAO hack: nem a régi típusú hiba volt
Ha ránézel a StakeDAO esetére, elsőre úgy tűnik, mintha ez is csak egy szokásos „smart contract exploit” lett volna. Valójában azonban valami sokkal prózaibb és veszélyesebb dolog történt.
A Blockaid és a PeckShield biztonsági cégek vették észre a héten, május 26-án, hogy a Stake DAO, egy hozamoptimalizáló DeFi platform Arbitrum hálózaton lévő egyik mesterkulcsa illetéktelen kezekbe került. A hacker nem egy bonyolult kódot tört fel. Egyszerűen fogta ezt a privát kulcsot, és átállította a LayerZero v2 konfigurációját a token szerződésénél. Az eredeti, megbízható híd helyett beállított egy saját, rosszindulatú címet, majd küldött egy hamisított cross-chain üzenetet.
Az eredmény? A rendszer szó szerint létrehozott nagyjából 5,446 billió hamis vsdCRV tokent, egyenesen a támadó címére, aki ezután a MetaMask publikus routerén keresztül elkezdte ezeket ETH-ra váltani. A tényleges kár a gyenge likviditás miatt végül nem lett csillagászati, nagyjából 43,7 – 43,9 ETH-t tudott csak kiszivattyúzni és az Ethereum mainnetre átküldeni, ami durván 90-91 ezer dollárnyi lopást jelent. Ez a 91 ezer dollár persze nem a DeFi történetének legnagyobb rablása. De a tanulság fontos, a protokollod lehet bármennyire mélyen auditált és technikailag kifinomult, ha a kulcskezelés a gyenge láncszem. Az utóbbi időben sajnos túl sokszor látjuk ezt, hogy nem a kódban van a hiba, hanem a hozzákapcsolt rendszerben, a híd-szerződésben, a poolban, vagy az emberi tényező a hibaforrás, a rossz kulcskezelés, a social engineering, és az adathalászat miatt keletkezik veszteség.
A kulcskezelés lett az új front
És pontosan ez az, ami a DeFi új sérülékenységét adja. Ahogy arra több iparági szakértő is rámutatott a napokban, a veszteségek és hackek oroszlánrésze ma már egyszerűen nem a kódolási hibákból fakad.
A DeFi Summer idején, 2021-ben, és még utána is, ‘22-ben, a hackerek viszonylag könnyen tudtak nagy zsákmányt szerezni, mert az egész DeFi őrület még csak felfutóban volt, boldog-boldogtalan saját projektet indított, és az okosszerződéseket alig auditálták. Ma viszont a klasszikus okosszerződés-kódok egyre jobbak, a károkat a paraméterezési hibák és a gyenge működési biztonság okozzák, nem az, hogy amatőrök dobják össze a protokollt egy délután alatt. A StakeDAO sztori is ezt a mintát erősíti, itt sem a szerződés romlott el, hanem a köré épített jogosultsági, emberi és infrastrukturális réteg omlott össze.
Ez egy sokkal kellemetlenebb korszak, mint a régi „találjunk egy bugot a kódban” világ.
A modern DeFi protokollok túlbonyolítottak, sokszor egyszerre tíz láncon futnak, bridge-eket, peer-konfigurációkat, deployer-jogokat, timelockokat használnak, és emiatt a támadási felület gigantikusra nőtt a tiszta kódon túl is, így a védekezés már nemcsak a matematikusok dolga, hanem egy kiberbiztonsági rémálom.
Minden új lánc egy új támadási felület. Minden bridge egy támadási felület. Minden egyes személy, aki a megfelelő kulcsok birtokában van, célpont.
Az AI közben felgyorsította a támadókat
És mintha ez még nem lenne elég baj, bejött a képbe az AI. A napokban robbant a hír, hogy Manuel Aráoz, a híres okosszerződés-biztonsági cég, az OpenZeppelin alapítója kiállt a nyilvánosság elé, és egy rendkívül sötét (sokak szerint apokaliptikus) nyilatkozatot tett.
Aráoz úgy fogalmazott, hogy jelenleg az egész DeFit, beleértve az óriásokat is, mint az Aave, a Sky vagy a Compound, alapvetően nem tekinti biztonságosnak, és azt javasolta az embereknek, hogy vegyék ki a pénzüket.
PSA: I now consider *all* of DeFi unsafe.
Coding agents are superhuman at finding vulnerabilities, and smart contract security is too asymmetric: defenders need to fix every bug while attackers need just one exploit to steal funds.
— Manuel Aráoz (@maraoz) May 26, 2026
Az indoklás? Az AI agentek ma már olyan emberfeletti tempóban tudnak rejtett sebezhetőségeket (akár kód szinten, akár a protokoll dizájnjában) keresni, ami felborítja a játékteret. A támadónak elég egyetlen apró rést találnia az AI segítségével, a sok elemből összeszőtt rendszer egyetlen pontján, miközben a védőknek továbbra is minden hibát tökéletesen zárniuk kell.
Bár az iparágon belül, például a StakeDAO esetére is hivatkozva, sokan azzal érveltek, hogy az AI a védelmet is segítheti, és a hackek még mindig az emberi lustaságból és hibákból jönnek, a pszichológiai csapás megtörtént.
A DeFi most azért tűnik újra veszélyesnek, sok évnyi fejlődés és erősödés után, mert a támadási környezet, hála az AI-nak és a fejlett, de egyben bonyolult rendszereknek, hirtelen sokkal gyorsabban kezdett fejlődni, mint a védelem.
Olvastad már? Befektetett a Samsung az Upbit anyavállalatába, erősödik a dél-koreai kriptopiac
Kriptopiaci kutató, a Kriptoworld.hu külsős szerzője
Tűz. Kerék. Gőzgép. Bitcoin.
📅 Megjelenés: 2026. május 30. • 🕓 Utolsó frissítés: 2026. május 30.
✉️ Kapcsolat: [email protected]
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.