$285 juta dicuri dari @DriftProtocol dalam 12 menit. 1 April. Bukan lelucon. Sebagian besar analisis pasca-insiden berhenti di “kunci yang dikompromikan.” Ada dua kejadian semacam ini dalam 10 hari. Tidak ada yang terjadi seperti yang kebanyakan orang bayangkan. Berikut mekanisme sebenarnya ↓ — ➠ Satu Minggu Sebelum Peretasan: Drift Berpindah ke Multisig Baru Konfigurasi: ▸ Ambang tanda tangan 2 dari 5 ▸ Timelock 0 detik (eksekusi instan, tanpa penundaan) ▸ 4 dompet baru ▸ 1 penandatangan yang dipertahankan dari struktur sebelumnya Penandatangan yang dipertahankan ini adalah dinding penopang utama. Lima jam sebelum T=0, penandatangan yang dipertahankan mengusulkan perubahan alamat admin Drift. Satu penandatangan baru ikut menandatangani. Ambang terpenuhi. Tidak ada penundaan. Kontrol admin ditransfer secara instan. Pada saat itu, penyerang memiliki otoritas penuh tanpa batas atas seluruh protokol. — ➠ Mereka Menggunakannya dalam 12 Menit Dalam 31 transaksi, penyerang menciptakan pasar spot palsu untuk CarbonVote Token (CVT), token tak bernilai yang mereka ciptakan sendiri. Mereka menetapkan oracle Switchboard yang sepenuhnya mereka kendalikan, lalu memompanya agar 500 juta CVT tampak bernilai ratusan juta dalam jaminan nyata. Kemudian mereka meningkatkan batas penarikan hingga 20x di setiap pasar utama: ▸ $USDC dari 25T menjadi 500T ▸ Hal yang sama untuk wETH, JLP, dSOL Semua sistem pencegah protokol, dinonaktifkan dalam satu transaksi. — ➠ Lalu Mereka Menarik Semuanya Vault JLP: dari 41,7 juta menjadi tersisa 133. 99,9997% hilang. Rute dana: ▸ Drift Vault → dompet penarik HkGz4KmoZ7 ▸ 9 transfer aset terpisah → dompet pencuci uang 8ubo4HbWJH ▸ Dibridging ke ethereum melalui CCTP v2 Circle dan Wormhole Aset di jalur penarikan tunggal ini: ▸ 100,5 juta USDC dalam 4 batch ▸ 100 WBTC keluar melalui Wormhole ▸ 5,64 juta USDT ▸ 5,25 juta USDS ▸ 164 cbBTC Total pencurian protokol di semua jalur: $270 juta–$285 juta. — ➠ Circle tidak mengambil tindakan pembekuan apa pun. Meskipun CCTP adalah jembatan mereka sendiri. Meskipun ini terjadi selama jam kerja AS. Meskipun pemantau on-chain menandai eksploitasi secara real time. @circle tidak mengambil tindakan segera apa pun. Sebagai konteks, Circle baru-baru ini membekukan lebih dari 16 dompet bisnis yang tidak terkait, tetapi tidak bisa bertindak terhadap eksploitasi bernilai ratusan juta yang sedang berlangsung. Coba jelaskan ini masuk akal. — ➠ Informasi On-Chain Dompet penarik (HkG...ZES) didanai melalui Near Intents 8 hari sebelum peretasan. Lalu benar-benar tidak aktif sama sekali, sampai saat vault Drift diserang. Dompet pencuci uang (8ub...Gxw dan alamat terkait) didanai hanya satu hari sebelum eksploitasi, melalui Backpack. Backpack menjalankan KYC. Artinya, nama asli terkait dengan dompet-dompet ini. Ini adalah jejak paling dapat diidentifikasi dalam seluruh operasi, dan merupakan kegagalan opsec yang signifikan. Alamat ETH penerima diisi melalui @TornadoCash sebelum eksploitasi. Jalur keluar dibangun berminggu-minggu atau berbulan-bulan sebelumnya. Ketidakkonsistenan ini biasanya menunjukkan beberapa aktor dengan tingkat keamanan operasional berbeda. Juga jejak paling berguna bagi penyelidik. — ➠ Bandingkan Ini dengan @ResolvLabs Diserang sekitar 10 hari sebelumnya. Tidak ada serangan oracle. Tidak ada jaminan palsu. Kunci SERVICE_ROLE yang dikompromikan digunakan untuk mencetak stablecoin USR tanpa jaminan langsung ke pasar. Eksekusi berbeda, pola kegagalan identik: satu kunci istimewa, tanpa timelock, tanpa batas laju pada apa yang bisa diotorisasi kunci tersebut. Drift: kunci admin, oracle, jaminan palsu, menarik vault. Resolv: kunci layanan, mencetak token tanpa jaminan, menjualnya. Keduanya tidak memiliki timelock. Keduanya memiliki kunci admin dengan otoritas tanpa batas. Keduanya mengekspos ratusan juta dana pengguna ke satu titik kegagalan. — ➠ Jika Anda Memiliki Dana di Salah Satu Vault Strategi Drift Ini Periksa posisi Anda sekarang: AcePro, Algorithmica, ALT3 Capital, Circuit, Elemental, Equinox, Gauntlet, HaveMore, Knightrade, Kvants, M1, MetaEntropy, Neutral Trade, NX Finance, PrimeNumber, The Capital, Vectis, Vega Finance, ViXii. Saat ini, Drift telah menghentikan setoran dan penarikan. NFA. DYOR. Tetap Aman.