Den 1 april bekrÀftade Drift Protocol, en Solana-baserad decentraliserad börs för perpetuella kontrakt, att ett aktivt sÀkerhetsintrÄng hade Àgt rum som resulterade i förlusten av cirka 280 miljoner dollar i anvÀndarnas medel. Inom nÄgra minuter efter att ha upptÀckt avvikande transaktioner pÄ blockkedjan stoppade Drift-teamet alla insÀttningar och uttag och mobiliserade sina sÀkerhetspartner för att begrÀnsa incidenten. Driftens postmortem-rapport avslöjade senare att angriparen utnyttjade en försignerad hÄllbar nonce-mekanism för att genomföra försenade transaktioner utan upptÀckt. Denna metod tillÀt den illvilliga aktören att lura multisig-signerare att godkÀnna vad som verkade vara legitima administratörsoperationer, vilket utlöste ett omedelbart tröskelvÀrdesbypass.
IntrĂ„nget Ă€gde rum i tvĂ„ steg. Först erhöll exploatören tvĂ„ av fem nödvĂ€ndiga signaturerna pĂ„ protokollets nya multisig-adress, som hade implementerats bara dagar tidigare som en del av en planerad uppgradering. En kvarvarande signer frĂ„n det tidigare multisig-skyddet behöll av misstag tillgĂ„ngen, och angriparen komprometterade tvĂ„ ytterligare signatörer genom riktade operativa sĂ€kerhetsfel. Inom ett tidslĂ„s-fönster pĂ„ noll sekunder lade aktören fram och godkĂ€nde ett förslag som överförde alla tillgĂ„ngar frĂ„n Drifts likviditetstillgĂ„ngar â som bestĂ„r av USDC, Wrapped Bitcoin, Wrapped Ethereum och andra SPL-tokens â till en extern plĂ„nbok.
Blockkedjeanalys utförd av Elliptic och CertiK indikerade att medlen fördes över via Circle:s Cross-Chain Transfer Protocol (CCTP) till Ethereum bara nÄgra minuter efter uttömningen. Elliptics hotintelligens markerade plÄnboksadresser som tidigare kopplats till Nordkoreas statssponsrade cyberbrottskampanjer. Historiska DPRK-utnyttjanden, inklusive Wormhole-hacket pÄ 1,5 miljarder dollar 2022 och Bybit-incidenten pÄ 2 miljarder dollar i februari 2025, delar beteendemönster: beroende av hÄllbara nonces eller tidsfördröjningsfönster och prioritering av hög likviditet i stablecoin-flöden.
Branschaktörer reagerade snabbt. Solana-stiftelsen inledde en kodgranskning av hantering av hÄllbara nonces, medan Circle stoppade Àldre mesh-routing-noder för att förhindra ytterligare otillÄtna USDC-överföringar. Drift Protocol samarbetade med rÀttsvÀsendet, inklusive USA:s justitiedepartementets National Cryptocurrency Enforcement Team, för att spÄra stulna tillgÄngar över centraliserade och decentraliserade plattformar. PÄ kedjan ÄterhÀmtningsalternativ Àr fortfarande begrÀnsade, men protokollstyrningen har föreslagit en plan för Ätertagande av kollateral som finansieras av ekosystemets försÀkringsfonder.
Exploitet understryker fortsatta sÄrbarheter i multisignatursystem och den mÀnskliga faktorn i operativ sÀkerhet. Driftsgrundaren tillkÀnnagav planer pÄ att integrera hÄrdvarubaserade nyckelhanteringslösningar och krÀva flerparts-godkÀnnanden via tröskelsignaturlösningar (TSS) med förlÀngda tidslÄs. Eftersom DeFi:s TVL överstiger 200 miljarder dollar över nÀtverken Àr Drift-hacket en pÄminnelse om att styrningshygien och riskkontroller över kedjorna Àr avgörande för att skydda decentraliserad finansiell infrastruktur.
Kommentarer (0)