Dina tanggal 1 April, bursa perpetual desentralisasi berbasis Solana, Drift Protocol, ngaku aya panyerangan kaamanan anu aktip anu nyababkeun leungitna kira-kira $280 juta dana pamaké. Saméméhna sababaraha menit sanggeus ngadeteksi transaksi on-chain anu teu biasa, tim Drift ngaleupaskeun sadaya setoran jeung tarikan dana sarta ngagerakkeun réréncangan kaamanan pikeun ngaranjangan insiden éta. Laporan postmortem Drift engké ngungkab yén palaku jahat ngamangpaatkeun mékanisme durable nonce anu parantos ditandatangan saméméh pikeun ngajalankeun transaksi anu ditunda tanpa kadeteksi. Cara ieu ngidinan aktor jahat pikeun ngareun signer multisig sangkan nyatujuan naon anu sigana operasi admin anu sah, ngabalukarkeun bypass ambang (threshold) sacara langsung.
Pelanggaran éta kajadian dina dua léngkah. Kahiji, pélaku éksploitasi meunang dua tina lima tanda tangan anu diperlukeun dina alamat multisig anyar protokol, anu ngan sababaraha dinten kapungkur dipasang salaku bagian tina upgrade anu direncanakeun. Hiji signer tina multisig saméméhna anu tetep gaduh aksés sacara teu dihaja. sang pélaku ogé ngamangpaatkeun dua signer tambahan ngaliwatan kagagalan kaamanan operasional anu ditujukeun. Dina jandela timelock nol detik, aktor ngirimkeun sarta nyatujuan hiji proposal anu mindahkeun sadaya aset tina vault likuiditas Drift—anu ngawengku USDC, wrapped Bitcoin, wrapped Ethereum, sarta token SPL séjén—ka dompét eksternal.
Analisis blockchain ku Elliptic jeung CertiK nunjukkeun yén dana dibawa ngaliwatan Cross-Chain Transfer Protocol (CCTP) ti Circle ka Ethereum sababaraha menit sanggeus siphon. Intel ancaman ti Elliptic ngébréhkeun alamat dompét anu saméméhna patali jeung kampanye kajahatan siber nu didukung ku nagara North Korea. Eksploit DPRK dina sejarah, kaasup hack Wormhole senilai $1,5 milyar dina 2022 jeung kajadian Bybit senilai $2 milyar dina Februari 2025, ngabagi ciri kalakuan: ngandelkeun nonce awét atawa jandela waktos-lambat jeung prioritaskeun aliran stablecoin likuid anu luhur.
Pihak-pihak dina industri gancang nyanghareupan. Solana Foundation ngamimitian audit kode ngeunaan cara ngatur durable nonce, sedengkeun Circle ngeureunkeun node routing mesh warisan pikeun nyegah jembatan USDC nu teu diotorisasi saterusna. Drift Protocol ngontak aparat penegak hukum, kalebet National Cryptocurrency Enforcement Team ti US Department of Justice, pikeun ngalacak aset nu dicuri di platform sentral jeung desentralisasi. Pilihan ngarekonstruksi di chain tetep terbatas, tapi kapamimpinan protokol geus ngusulkeun rencana pangbalikan jaminan anu dibiayai ku kolam asuransi Ă©kosistem.
Éksploit ieu ngingetkeun kerentanan anu terus aya dina skéma multisignature jeung unsur manusa dina kaamanan operasional. Pangadeg Drift ngumumkeun rencana pikeun ngagabungkeun solusi manajemén konci dumasar hardware sarta ngadamel persetujuan multi-pihak ngaliwatan skéma tanda tangan ambang (TSS) kalayan time-lock anu langkung panjang. Nalika TVL DeFi ngaleuwihan leuwih ti $200 milyar di sakuliah jaringan, serangan Drift janten pangeling yén kahigienisan gouvernans jeung kontrol résiko antar-rantai penting pikeun ngariksa infrastruktur finansial desentralisasi.
Komentar (0)