12 মিনিটে @DriftProtocol থেকে $285M চুরি হয়েছে। এপ্রিল 1। এটা জোক নয়। অধিকাংশ পোস্ট-মর্টেম শুধু "কমপ্রোমাইজড কী" পর্যন্তই থামে। 10 দিনের মধ্যে এই ধরনের দুটি ঘটনা ঘটেছে। এগুলোর কোনোটিই অধিকাংশ মানুষের কল্পনার মতো ঘটেনি। এখানে বাস্তব কার্যপ্রণালী ↓ — ➠ হ্যাকের এক সপ্তাহ আগে: Drift একটি নতুন মাল্টিসিগে স্থানান্তরিত হয় সেটআপ: ▸ 2 এর মধ্যে 5 স্বাক্ষরের সীমা ▸ 0-সেকেন্ডের টাইমলক (তাৎক্ষণিক কার্যকরীকরণ, কোনো বিলম্ব নেই) ▸ 4টি সম্পূর্ণ নতুন ওয়ালেট ▸ পূর্ববর্তী কাঠামো থেকে 1টি করে-ওভার সিগনার এই করে-ওভার সিগনারটিই ছিল গুরুত্বপূর্ণ দেয়াল। T=0-এর 5 ঘন্টা আগে, করে-ওভার সিগনার Drift-এর admin ঠিকানা পরিবর্তনের প্রস্তাব দেয়। একটি নতুন সিগনারও সহমতি জানায়। সীমা পূরণ। কোনো বিলম্ব নেই। admin নিয়ন্ত্রণ তাৎক্ষণিকভাবে স্থানান্তরিত হয়। এই মুহূর্তে, হ্যাকারটির Drift-এর সম্পূর্ণ প্রোটোকলের উপরেই অসীম ক্ষমতা ছিল। — ➠ 12 মিনিটের মধ্যেই তারা এটি ব্যবহার করল 31টি লেনদেনে, হ্যাকারটি CarbonVote Token (CVT) -এর একটি fake spot market তৈরি করল,যা 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2024-04-01T17:30:00Z-এর 2 — ➠ Then They Drained JLP vault: 41.7 million to 133 left. 99.9997% gone. The money path: ▸ Drift Vault → drainer wallet HkGz4KmoZ7 ▸ 9 separate asset transfers → launderer wallet 8ubo4HbWJH ▸ Bridged out to Ethereum via Circle's CCTP v2 and Wormhole Assets on this single drainer path: ▸ 100.5M USDC across 4 batches ▸ 100 WBTC out via Wormhole ▸ 5.64M USDT ▸ 5.25M USDS ▸ 164 cbBTC Total protocol drain across all paths: $270M–$285M. — ➠ Circle took no freeze action. Despite CCTP being their own bridge. Despite this happening during US business hours. Despite on-chain monitors flagging the exploit in real time. @circle taking no immediate actions. For context, Circle recently froze 16+ unrelated business wallets but couldn't move on a nine-figure exploit in progress. Make that make sense. — ➠ The On-Chain Intel The drainer wallet (HkG...ZES) was funded via Near Intents 8 days before the hack. Then went completely dormant. No activity at all, until the moment Drift's vaults were hit. The launderer wallet (8ub...Gxw and linked addresses) was funded just one day before the exploit, via Backpack. Backpack runs KYC. That means a real name is attached to those wallets. This is the most identifiable thread in the entire operation, and it's a significant opsec failure. The receiving ETH address was seeded via @TornadoCash before the exploit. The exit route was built weeks or months in advance. That inconsistency usually points to multiple actors with different levels of operational security. Also the most useful thread for investigators. — ➠ Compare This to @ResolvLabs Hit roughly 10 days earlier. No oracle attack. No fake collateral. A compromised SERVICE_ROLE key used to mint unbacked USR stablecoins directly into the market. Different execution, identical failure mode: one privileged key, no timelock, no rate limits on what that key could authorize. Drift: admin key, oracle, fake collateral, drain vaults. Resolv: service key, mint unbacked tokens, sell. Both had zero timelocks. Both had admin keys with unbounded authority. Both exposed hundreds of millions in user funds to a single point of failure. — ➠ If You Have Funds in Any of These Drift Strategy Vaults Check your position now: AcePro, Algorithmica, ALT3 Capital, Circuit, Elemental, Equinox, Gauntlet, HaveMore, Knightrade, Kvants, M1, MetaEntropy, Neutral Trade, NX Finance, PrimeNumber, The Capital, Vectis, Vega Finance, ViXii. Currently, Drift halted deposits and withdrawals. NFA. DYOR. Stay Safe.