1 kwietnia Drift Protocol, giełda zdecentralizowanych perpetualów oparta na Solanie, potwierdziła aktywny incydent bezpieczeństwa, w wyniku którego utracono około 280 milionów dolarów środków użytkowników. W ciągu kilku minut od wykrycia nieregularnych transakcji w łańcuchu, zespół Drift zawiesił wszystkie depozyty i wypłaty oraz zmobilizował swoich partnerów ds. bezpieczeństwa, aby ograniczyć incydent. Raport powypadkowy Drift ujawnił później, że atakujący wykorzystał uprzednio podpisany mechanizm trwałych nonce'ów do wykonywania opóźnionych transakcji bez wykrycia. To podejście umożliwiło złośliwemu podmiotowi skłonienie podpisujących multisig do zatwierdzenia pozorowanych operacji administracyjnych, co doprowadziło do natychmiastowego ominięcia progu.
Incydent rozgrywał się w dwóch etapach. Najpierw eksploatator uzyskał dwa z pięciu wymaganych podpisów na nowym adresie multisig protokołu, który został wdrożony zaledwie kilka dni wcześniej w ramach planowanej aktualizacji. Jeden podpisujący z poprzedniego zestawu multisig przypadkowo zachował dostęp, a atakujący przejął dwóch kolejnych podpisujących wskutek ukierunkowanych błędów w ochronie operacyjnej. W oknie timelock o zerowej długości aktor złożył i zatwierdził propozycję przeniesienia wszystkich aktywów z vaultu płynności Drift — obejmującego USDC, Wrapped Bitcoin, Wrapped Ethereum i inne tokeny SPL — na zewnętrzny portfel.
Analiza łańcucha bloków przeprowadzona przez Elliptic i CertiK wskazała, że środki zostały przetransferowane za pomocą Cross-Chain Transfer Protocol Circle’a (CCTP) na Ethereum kilka minut po wycieku. Dane wywiadowcze Elliptic zidentyfikowały adresy portfeli wcześniej powiązane z państwowymi kampaniami cyberprzestępczymi Korei Północnej. Historyczne ataki DPRK, w tym hack Wormhole o wartości 1,5 miliarda dolarów w 2022 roku oraz incydent Bybit o wartości 2 miliardów dolarów w lutym 2025 roku, wykazują podobne cechy behawioralne: poleganie na trwałych nonce'ach lub oknach opóźnienia czasowego i priorytetowe traktowanie przepływów o wysokiej płynności stablecoinów.
Przedstawiciele branży zareagowali szybko. Fundacja Solana zainicjowała audyt kodu dotyczącego obsługi trwałych nonce'ów, podczas gdy Circle wstrzymał starsze węzły routingu mesh, aby zapobiec dalszym nieautoryzowanym mostom USDC. Drift Protocol nawiązał współpracę z organami ścigania, w tym z Narodowym Zespołem ds. Egzekwowania Kryptowalut Departamentu Sprawiedliwości USA (National Cryptocurrency Enforcement Team), w celu namierzenia skradzionych aktywów na platformach scentralizowanych i zdecentralizowanych. Opcje odzysku na łańcuchu pozostają ograniczone, ale zarząd protokołu zaproponował plan odzyskania zabezpieczeń finansowany z pul ubezpieczeniowych ekosystemu.
Włamanie podkreśla utrzymujące się luki w schematach multisignature i czynnik ludzki w bezpieczeństwie operacyjnym. Założyciel Drift ogłosił plany integracji sprzętowych rozwiązań zarządzania kluczami oraz wprowadzenia obowiązku zatwierdzeń przez wiele stron za pomocą schematów podpisu progowego (TSS) z wydłużonymi oknami timelock. Gdy całkowita wartość DeFi TVL przekracza 200 miliardów dolarów w sieciach, atak Drift przypomina, że higiena zarządzania i kontrole ryzyka między łańcuchami są kluczowe dla ochrony zdecentralizowanej infrastruktury finansowej.
Komentarze (0)