🤑 ANG DRIFT EXPLOIT AY HINDI LANG ISANG HACK, KUNDI ISANG LONG CON ⛔ KABANATA 1: ANG MUKHA NG PISTE Hindi ito nagsimula sa isang paglabas. Nagsimula ito sa isang kuwento. Sa huling bahagi ng 2025, pumasok ang mga attacker sa mundo ng Drift bilang isang quant trading firm. Dumalo sila sa mga konperensya, nagsimula ng mga usapan, at unti-unting binuo ang tunay na ugnayan. Sa paglipas ng panahon, naging pamilyar na sila sa ecosystem. Buksan nila ang kanilang wallet, idinagdag ang pera, at kahit nagbigay sila ng higit sa $1M upang maging ganap na legit. Nang maaring magtanong kailanman, ang tiwala ay nasa tapat na ginawa na ang kanyang trabaho. 😈 KABANATA 2: ANG LIKOD NA MAKINA Noong paligid ng March 11, nagsimula ang tunay na paghahanda. Sa likod ng mga kislap, nilikha ng mga attacker ang isang pekeng token na CVT, nilikha ang isang maliit na Raydium pool, at ginamit ang wash trading upang lumikha ng isang makatotohanang kasaysayan ng presyo. Parang tunay na merkado, ngunit ito ay isang paghahanda lamang na disenyo upang maliitin ang sistema. Ang layunin ay simpleng: lumikha ng collateral na tila may halaga habang pinag-uugnay sa halos walang anumang tulong. 🫢 KABANATA 3: ANG PINTO NA NAKABUkas Pagkatapos ay dumating ang mahalagang sandali. Ipinapahayag ni TRM na ginamit ng mga attacker ang social engineering upang makakuha ng pre-signed approvals mula sa mga multisig signers. Agad pagkatapos, noong March 27, nagbago ang Drift’s Security Council sa 2/5 setup na walang timelock. Ibig sabihin, wala nang delay upang makita ang mga kakaibang aksyon. Hindi na protektado ng oras ang sistema. 🪙 KABANATA 4: ANG HUSTO NG APRIL 1 Noong April 1, lahat ay gumalaw nang sabay-sabay. I-list ng attacker ang CVT bilang valid collateral, itaas ang withdrawal limit, idinagdag ang mga hundreds of millions ng CVT, at nagsimula na mag-extract ng tunay na assets. Sa loob lamang ng 12 minuto, nasira na ang protocol. Mga malaking halaga ng USDC at JLP ay tinanggal, at agad na inilipat ang pera, kung saan ang mga pangunahing bahagi ay bridged sa Ethereum sa loob ng ilang oras. Ang tila bigla ay plano na para sa ilang buwan. 🤓 KABANATA 5: ANG TUNAY NA ARAL Hindi ito isyu lamang sa smart contract. Ito ay kombinasyon ng manipulasyon sa tiwala, pekeng identity, pre-signed approvals, abuso sa oracle, at mahina ang governance controls. Hindi pumasok ang mga attacker sa pamamagitan ng pwersa. Nagkamit sila ng pagsisikap upang pumasok. At iyon ang nagpapakaiba dito. Kapag naging partner mo muna ang mga attacker, hindi nila kailangan putulin ang anumang bagay. Nasa loob na sila.
I-share
Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito.
Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.