تم سحب 285 مليون دولار من @DriftProtocol خلال 12 دقيقة. أول أبريل. ليس مزحة. تتوقف معظم التحليلات ما بعد الحادث عند "المفتاح المخترق". كان هناك اثنان من هذه المفاتيح خلال 10 أيام. ولم يحدث أي منهما بالطريقة التي يتخيلها معظم الناس. إليك الآلية الفعلية ↓ — ➠ أسبوع قبل الاختراق: انتقلت Drift إلى نظام متعدد التوقيع جديد الإعداد: ▸ عتبة توقيع 2 من 5 ▸ وقت تأخير صفر ثانية (تنفيذ فوري، بدون تأخير) ▸ 4 محافظ جديدة تمامًا ▸ مُوقِّع واحد مُستَمر من الهيكل السابق كان هذا المُوقِّع المستمر هو الجدار الداعم. خمس ساعات قبل T=0، اقترح المُوقِّع المستمر تغيير عنوان إدارة Drift. ووقّع عليه مُوقِّع جديد واحد. تم تحقيق العتبة. لا تأخير. تم نقل التحكم الإداري فورًا. في تلك اللحظة، كان للمهاجم سلطة كاملة وغير محدودة على البروتوكول بأكمله. — ➠ استخدموها خلال 12 دقيقة من خلال 31 معاملة، أنشأ المهاجم سوقًا فوريًا مزيفًا لرمز CarbonVote Token (CVT)، وهو رمز بلا قيمة أنشأه هو نفسه. ثم قام بتعيين منفذ Switchboard يتحكم فيه بالكامل، ورفع قيمته ليبدو أن 500 مليون CVT تساوي مئات الملايين من الضمانات الحقيقية. ثم رفع حدود السحب 20 ضعفًا عبر جميع الأسواق الرئيسية: ▸ $USDC من 25T إلى 500T ▸ نفس الشيء لـ wETH و JLP و dSOL تم تعطيل جميع أنظمة الإيقاف التلقائي في البروتوكول في معاملة واحدة. — ➠ ثم قاموا بالسرقة خزينة JLP: من 41.7 مليون إلى 133 فقط. 99.9997% اختفى. مسار الأموال: ▸ خزينة Drift → محفظة السارق HkGz4KmoZ7 ▸ 9 تحويلات أصول منفصلة → محفظة الغسيل 8ubo4HbWJH ▸ نُقلت عبر جسر Circle's CCTP v2 و Wormhole إلى Ethereum الأصول على مسار السرقة هذا: ▸ 100.5 مليون USDC على 4 دفعات ▸ 100 WBTC نُقلت عبر Wormhole ▸ 5.64 مليون USDT ▸ 5.25 مليون USDS ▸ 164 cbBTC إجمالي السرقة من البروتوكول عبر جميع المسارات: 270 مليون إلى 285 مليون دولار. — ➠ Circle لم تتخذ أي إجراء تجميد. على الرغم من أن CCTP هو جسرهم الخاص. وعلى الرغم من أن الحادث حدث خلال ساعات العمل في الولايات المتحدة. وعلى الرغم من أن أنظمة المراقبة على السلسلة أشارت إلى الاستغلال في الوقت الفعلي. @circle لم تتخذ أي إجراءات فورية. كمقارنة، قامت Circle مؤخرًا بتجميد أكثر من 16 محفظة أعمال غير مرتبطة، لكنها لم تستطع التحرك ضد استغلال بقيمة مئات الملايين وهو جارٍ. اجعل هذا منطقيًا. — ➠ المعلومات على السلسلة تم تمويل محفظة السارق (HkG...ZES) عبر Near Intents قبل 8 أيام من الاختراق. ثم دخلت في سكون تام. لا نشاط على الإطلاق، حتى اللحظة التي تم فيها استهداف خزائن Drift. تم تمويل محفظة الغسيل (8ub...Gxw والعناوين المرتبطة بها) قبل يوم واحد فقط من الاستغلال، عبر Backpack. Backpack تقوم بإجراء KYC. وهذا يعني أن هناك اسمًا حقيقيًا مرتبطًا بهذه المحافظ. هذه هي أكثر الخيوط قابلية للتحديد في العملية بأكملها، وهي فشل كبير في أمن العمليات. تم تجهيز عنوان ETH المستلم عبر @TornadoCash قبل الاستغلال. وقد تم بناء طريق الخروج منذ أسابيع أو أشهر مسبقًا. هذه التناقضات عادة ما تشير إلى عدة أطراف بمستويات مختلفة من أمن العمليات. وهي أيضًا أكثر الخيوط فائدة للمحققين. — ➠ قارن هذا مع @ResolvLabs تم استهدافه قبل حوالي 10 أيام تقريبًا. لا هجوم على المنفذ. لا ضمانات مزيفة. تم استخدام مفتاح SERVICE_ROLE المخترق لإصدار عملات USR مستقرة غير مدعومة مباشرة في السوق. تنفيذ مختلف، نفس نمط الفشل: مفتاح مميز واحد، بدون تأخير، بدون حدود معدل لما يمكن لهذا المفتاح الترخيص به. Drift: مفتاح الإدارة، المنفذ، الضمانات المزيفة، سرقة الخزائن. Resolv: مفتاح الخدمة، إصدار رموز غير مدعومة، بيعها. كلاهما لم يكن لديه أي تأخير. وكلاهما كان يحتوي على مفاتيح إدارة ذات سلطة غير محدودة. وكلاهما عرض مليارات الدولارات من أموال المستخدمين لخطر نقطة فشل واحدة. — ➠ إذا كنت تمتلك أموالًا في أي من هذه الخزائن الاستراتيجية لـ Drift تحقق من مركزك الآن: AcePro, Algorithmica, ALT3 Capital, Circuit, Elemental, Equinox, Gauntlet, HaveMore, Knightrade, Kvants, M1, MetaEntropy, Neutral Trade, NX Finance, PrimeNumber, The Capital, Vectis, Vega Finance, ViXii. حاليًا، أوقفت Drift الإيداع والسحب. ليس نصيحة استثمارية. ابحث بنفسك. كن آمنًا.