На 1 април децентрализираният обмен за perpetual договори Drift Protocol, базиран на Solana, потвърди активен пробив в сигурността, който доведе до загуба на приблизително 280 милиона долара потребителски средства. В рамките на минути след откриването на нередности в on-chain транзакциите екипът на Drift спря всички депозити и тегления и мобилизира партньорите си по сигурността за овладяване на инцидента. По-късно докладът за постмортем разкри, че нападателят е използвал механизъм с предварително подписан траен nonce, за да изпълнява забавени транзакции без откриване. Този подход позволи на злонамерения актьор да примами подписващите мулти‑сиг да одобрят изглеждащи легитимни администраторски операции, което доведе до незабавно преодоляване на прага.
Първо, нападателят получи две от петте необходими подписи върху новия мулти‑сиг адрес на протокола, който беше внедрен едва дни по-рано като част от планирано обновление. Един подписиващ от предишния мулти‑сиг адрес неволно запази достъп, а нападателят компрометира още двама подписващи чрез целени пропуски в оперативната сигурност. В прозорец със нулево време на таймлок актьорът подаде и одобри предложение за прехвърляне на всички активи от ликвидния трезор на Drift — включително USDC, обвит биткойн, обвит Етериум и други SPL токени — към външен портфейл.
Анализът на блокчейна от Elliptic и CertiK посочи, че средствата са били прехвърлени чрез Cross‑Chain Transfer Protocol (CCTP) на Circle към Ethereum минути след източването. Информацията за заплахи на Elliptic маркира портфейл адреси, свързани по-рано с кампании за киберпрестъпления, финансирани от Северна Корея. Историческите експлоати от Северна Корея, включително хакът Wormhole за 1,5 милиарда долара през 2022 г. и инцидентът Bybit през февруари 2025 г. за 2 милиарда долара, споделят поведенчески прилики: опора на трайни nonces или прозорци за забавяне и приоритизиране на потоци от стабилни монети с висока ликвидност.
Индустриалните заинтересовани страни реагираха бързо. Фондацията Solana започна одит на кода за обработка на трайни nonce, докато Circle спря старите възли за mesh маршрутизиране, за да предотврати по-нататъшни неоторизирани USDC мостове. Drift Protocol се обърна към правоохранителните органи, включително Националния екип за прилагане на крипто законодателството към Министерството на правосъдието на САЩ, за проследяване на откраднатите активи през централизираните и децентрализирани платформи. Възможностите за възстановяване на активи в блокчейна остават ограничени, но управлението на протокола предложи план за възстановяване на обезпечение, финансиран от фондове за застраховка в екосистемата.
Уязвимостта подчертава трайните уязвимости в схемите за мултиподписи и човешкия фактор в оперативната сигурност. Основателят на Drift обяви планове за интегриране на хардуерно базирани решения за управление на ключове и за задължително одобрение от множество страни чрез схеми за порогов подпис (TSS) с удължени таймлокове. Докато общият обем на DeFi TVL надхвърля 200 милиарда долара през мрежите, хакът Drift служи като напомняне, че управленческият хигиенен режим и контрола за риск между веригите са критични за опазването на децентрализираната финансова инфраструктура.
Коментари (0)