$285M ang tinanggal mula sa @DriftProtocol sa loob ng 12 minuto. Abril 1. Hindi ito isang palaisipan. Ang karamihan sa mga post-mortem ay tumigil sa “napapalitan na key.” May dalawa ito sa loob ng 10 araw. Walang isa sa kanila ang nangyari sa paraang isipin ng karamihan. Narito ang totoong mekanismo ↓ — ➠ Isang Linggo Bago ang Hack: Ginawa ni Drift ang Migrasyon sa Bagong Multisig Ang setup: ▸ 2 ng 5 na threshold para sa pag-sign ▸ 0-segundo na timelock (agad na pagpapatupad, walang paghihintay) ▸ 4 bagong wallet ▸ 1 na nagmula sa dating istruktura Ang nagmula sa dating istruktura ay ang pangunahing pilar. Limang oras bago ang T=0, inimbita ng nagmula sa dating istruktura ang pagbabago sa admin address ni Drift. Isang bagong signer ay sumigna. Natupad ang threshold. Walang paghihintay. Agad na napalitan ang kontrol sa admin. Sa ganitong sandali, mayroon na ang attacker ng buong walang hanggan na awtoridad sa buong protocol. — ➠ Ginamit Niya Ito Sa Loob ng 12 Minuto Sa pamamagitan ng 31 transaksyon, nilikha ng attacker ang isang pekeng spot market para sa CarbonVote Token (CVT), isang walang halagang token na kanilang nilikha mismo. Isinakop nila ang isang Switchboard oracle na ganap na kanilang kinokontrol, at pinataas ito upang gawing tila may halagang milyon-milyon dolyar ang 500 milyong CVT gamit ang totoong collateral. Pagkatapos, itinaas nila ang withdrawal limit nang 20x sa bawat pangunahing market: ▸ $USDC mula sa 25T hanggang 500T ▸ Parehong para sa wETH, JLP, dSOL Lahat ng circuit breaker sa protocol, inalis sa isang transaksyon lamang. — ➠ Pagkatapos, Tinanggal Nilang Lahat JLP vault: 41.7 milyon hanggang 133 na lang. 99.9997% nawala. Ang daan ng pera: ▸ Drift Vault → drainer wallet HkGz4KmoZ7 ▸ 9 hiwalay na asset transfer → launderer wallet 8ubo4HbWJH ▸ Ibinigay sa Ethereum gamit ang Circle’s CCTP v2 at Wormhole Ang mga asset sa isang daan na ito: ▸ 100.5M USDC sa 4 batches ▸ 100 WBTC na inilabas gamit ang Wormhole ▸ 5.64M USDT ▸ 5.25M USDS ▸ 164 cbBTC Kabuuang tinanggal sa protocol sa lahat ng daan: $270M–$285M. — ➠ Hindi gumawa ng aksyon ang Circle. Bagaman CCTP ay ang kanilang sariling bridge. Bagaman nangyari ito habang oras ng US. Bagaman tinukoy ng on-chain monitors ang exploit sa real time. @circle ay hindi gumawa ng anumang agad na aksyon. Para sa konteksto, bago ay inisip ng Circle ang 16+ di-kaugnay na business wallet, ngunit hindi makagalaw sa isang exploit na may bilang na milyon-milyon dolyar. Gawin mong maunawaan ito. — ➠ Ang On-Chain Intel Ang drainer wallet (HkG...ZES) ay pinagbukasan gamit ang Near Intents 8 araw bago ang hack. Pagkatapos, naging walang gawain. Walang aktibidad kahit anong gawin hanggang sa sandaling ma-attack ang Drift’s vaults. Ang launderer wallet (8ub...Gxw at mga kaugnay na address) ay pinagbukasan isang araw bago ang exploit, gamit ang Backpack. Ang Backpack ay gumagana ng KYC. Ibig sabihin, may real name na nakakaugnay sa mga wallet na ito. Ito ang pinakamakikita na thread sa buong operasyon, at ito ay isang malaking opsec failure. Ang tumatanggap na ETH address ay pinagbukasan gamit ang @TornadoCash bago ang exploit. Ang exit route ay binuo ilang linggo o buwan bago. Ang kakaibang ito ay karaniwang nagpapakita ng maraming actor na may iba’t ibang antas ng operational security. Ito rin ang pinakamakapagpapalaya para sa mga imbestigador. — ➠ Ihambing Ito Sa @ResolvLabs Na-attack nito nang halos 10 araw bago. Walang oracle attack. Walang pekeng collateral. Isang compromised SERVICE_ROLE key na ginamit upang mint unbacked USR stablecoins nang direkta sa merkado. Iba’t ibang paraan, parehong uri ng pagkabigo: isang privileged key, walang timelock, walang rate limits kung ano ang maaaring awtorisahan ng key na ito. Drift: admin key, oracle, pekeng collateral, drain vaults. Resolv: service key, mint unbacked tokens, ibenta. Pareho sila walang timelock. Pareho sila may admin key na may walang hanggan na awtoridad. Pareho sila inilabas ang mga milyon-milyon dolyar ng user funds sa isang solong point of failure. — ➠ Kung Mayroon Kang Pera Sa Anumang Drift Strategy Vaults Tingnan ang iyong position ngayon: AcePro, Algorithmica, ALT3 Capital, Circuit, Elemental, Equinox, Gauntlet, HaveMore, Knightrade, Kvants, M1, MetaEntropy, Neutral Trade, NX Finance, PrimeNumber, The Capital, Vectis, Vega Finance, ViXii. Kasalukuyan, hininto ni Drift ang deposit at withdrawal. NFA. DYOR. Manatiling ligtas.