Április 1-jén a Solana-alapú decentralizált perpetuális tőzsdé Drift Protocol megerősítette egy aktív biztonsági incidens létezését, amely mintegy 280 millió dollár felhasználói eszköz elvesztését okozta. Az on-chain rendellenes tranzakciók észlelése után néhány percen belül a Drift csapata felfüggesztette minden betétet és kivonást, és mozgósította biztonsági partnereit az incidens megfékezésére. A Drift utólagos vizsgálati jelentése rámutatott, hogy a támadó egy előre aláírt tartós nonce mechanizmust használt a késleltetett tranzakciók végrehajtására észlelés nélkül. Ez a megközelítés lehetővé tette a rosszindulatú fél számára, hogy a multisig aláírókat olyan adminisztrációs műveletek jóváhagyására csábítsa, amelyek úgy tűntek, mint legitim adminisztrációs műveletek, és azonnali küszöbvég átlépését váltotta ki.
Az incidenst két szakaszban bontották ki. Először a kizsákmányoló a protokoll új multisig címén a szükséges öt aláírás közül kettőt szerzett meg, amelyet csak néhány nappal korábban telepítettek egy tervezett frissítés részeként. Az előző multisig címről származó egy aláíró véletlenül továbbra is hozzáféréssel rendelkezett, és a támadó célzott operatív biztonsági hibák révén két további aláíró kompromittált. Egy nulla másodperces időzáras ablakban a szereplő benyújtotta és jóváhagyta egy javaslatot, amely Drift likviditási kincstárából—amely USDC-t, Wrapped Bitcoin-t, Wrapped Ethereum-t és más SPL-tokeneket tartalmazott—minden eszköz külső pénztárcába történő átutalását célozta.
Az Elliptic és a CertiK blokklánc-elemzése szerint a pénzeszközöket a drain után néhány perccel a Circle Cross-Chain Transfer Protocol (CCTP) segítségével Ethereum felé hídként vezették át. Az Elliptic fenyegetés-információs részlege olyan pénztárca címeket jelzett meg, amelyek korábban Észak-Korea állami támogatta kibertámadási kampányaihoz kapcsolódtak. A történelmi DPRK-kihasználások, köztük a 2022-es 1,5 milliárd dolláros Wormhole-hack és a 2025 februárjában történt Bybit-incidens, hasonló viselkedési jellemzőket mutatnak: a tartós nonce-okra vagy időzítéses ablakokra való támaszkodás és a nagy likviditású stabilcoin-áramok előtérbe helyezése.
Az iparági érintettek gyorsan reagáltak. A Solana Alapítvány megkezdte a tartós nonce-kezelés kódjainak auditját, miközben a Circle felfüggesztette a régi mesh útválasztó csomópontokat, hogy megelőzze a további jogosulatlan USDC-hidak létrejöttét. A Drift Protocol együttműködött a rendészeti hatóságokkal, beleértve az Egyesült Államok Igazságügyi Minisztériumának Nemzeti Kriptovaluta-ellenőrző csapatát (National Cryptocurrency Enforcement Team), hogy nyomon kövesse a lopott eszközöket központosított és decentralizált platformokon. Az on-chain visszakeresési lehetőségek továbbra is korlátozottak, de a protokoll kormányzata egy ökoszisztéma-biztosítási poolok által finanszírozott fedezet-visszaszerzési tervet javasolt.
Az exploit rámutat a multisignature rendszerek tartós sebezhetőségeire és az operatív biztonság emberi tényezőjére. Drift alapítója bejelentette, hogy hardveralapú kulcskezelési megoldásokat kíván integrálni, és kötelezővé tenné a több fél részvételével zajló jóváhagyásokat küszöbérték-aláírási rendszerek (TSS) és meghosszabbított időzárak révén. Mivel a DeFi TVL-ek hálózatokon át átlépik a 200 milliárd dollárt, a Drift hack emlékeztet minket arra, hogy a kormányzás higiénéje és a kereszt-k lánc kockázatkezelése kritikus a decentralizált pénzügyi infrastruktúra védelméhez.
Hozzászólások (0)