Ing tanggal 1 April, Drift Protocol, bursa perpetual desentralisasi adhedhasar Solana, ngandharake ana pelanggaran keamanan sing aktip sing ngasilake kerugian kira-kira $280 yuta dana pangguna. Ing sawetara menit sawisé ndeteksi transaksi on-chain sing ora lumrah, tim Drift ngendhegake kabeh setoran lan penarikan lan nglumpukake mitra keamanan kanggo ngendhaleni kedadean kasebut. Laporan postmortem Drift mengko ngandharake yen penyerang nggunakake mekanisme nonce awet sing wis ditandatangani sadurunge kanggo nglakokake transaksi sing ditundha tanpa terdeteksi. Pendekatan iki ngidini aktor jahat nglure tandha multisig supaya padha setuju karo apa sing katon minangka operasi admin sing sah, nyebabake bypass ambang kanthi langsung.
Pelanguaran kasebut kedade ing rong tahap. Kaping pisan, pelaku entuk loro saka limang tandha sing dibutuhake ing alamat multisig anyar protokol, sing wis dipasang mung sawetara dina sadurungé minangka bagean saka upgrade sing direncanakake. Salah siji tandha saka multisig sing ana sadurungé kanthi ora sengaja tetep nduwé aksès, lan penyerang ngrebut loro tandha tambahan liwat kegagalan keamanan operasional sing ditarget. Ing jendela timelock nol detik, aktor ngirim lan nyetujoni usulan sing mindhah kabeh aset saka brankas likuiditas Drift — kalebu USDC, Bitcoin sing dibungkus, Ethereum sing dibungkus, lan token SPL liyane — menyang dompet eksternal.
Analisis rantai blok dening Elliptic lan CertiK nuduhake yen dana kasebut dijembatani liwat Circle’s Cross-Chain Transfer Protocol (CCTP) menyang Ethereum sawetara menit sawisé drain. Intelijen ancaman Elliptic ngetokake alamat dompet sing sadurungé gegandhengan karo kampanye kejahatan siber sing didhukung negara Korea Lor (DPRK). Eksploit sejarah DPRK, kalebu pembobolan Wormhole senilai $1,5 milyar ing 2022 lan insiden Bybit senilai $2 milyar ing Februari 2025, nuduhake kemiripan prilaku: gumantung marang nonce awet utawa jendela wektu-penundaan lan prioritas aliran stablecoin likuiditas sing dhuwur.
Para pemangku kepentingan industri nanggapi kanthi cepet. Solana Foundation miwiti audit kode kanggo penanganan nonce awet, nalika Circle mandhegake node routing mesh lawas kanggo nyegah jembatan USDC sing ora sah luwih lanjut. Drift Protocol nglibatake penegak hukum, kalebu National Cryptocurrency Enforcement Team saka U.S. Department of Justice, kanggo nglacak aset sing ilang ing platform sentral lan desentralisasi. Opsi pemulihan on-chain isih winates, nanging governance protokol wis ngusulake rencana pemulihan jaminan sing didanai kolam asuransi ekosistem.
Eksploit iki nggarisbawahi kerentanan sing tetep ana ing skema multisignature lan unsur manungsa ing keamanan operasional. Pendirine Drift ngumumake rencana kanggo nggabungake solusi manajemen kunci berbasis hardware lan mewajibake persetujuan multi-pihak liwat skema tandha ambang (TSS) kanthi wektu-lock sing diperluas. Minangka TVL DeFi ngluwihi luwih saka $200 milyar ing saindhing jaringan, hacking Drift dadi pangeling-eling manawa higiene governance lan kontrol risiko lintas-rantai iku penting kanggo ngreksa infrastruktur keuangan desentralisasi.
Komentar (0)