🤑 EKSPLOITASI DRIFT BUKAN HANYA PERCURIAN, TAPI PENIPUAN PANJANG ⛔ BAB 1: TOPENG KEpercayaAN Itu tidak dimulai dengan pelanggaran. Itu dimulai dengan sebuah cerita. Pada akhir 2025, para penyerang memasuki dunia Drift sebagai perusahaan perdagangan kuantitatif. Mereka muncul di konferensi, memulai percakapan, dan perlahan membangun hubungan nyata. Seiring waktu, mereka menjadi wajah-wajah yang sudah dikenal di ekosistem. Mereka membuka dompet, menyetor dana, dan bahkan menyumbang lebih dari $1 juta agar terlihat sepenuhnya sah. Saat siapa pun mulai mempertanyakan mereka, kepercayaan sudah menjalankan tugasnya. 😈 BAB 2: MESIN TERSEMBUNYI Sekitar 11 Maret, setup sebenarnya dimulai. Di belakang layar, para penyerang mencetak token palsu bernama CVT, membuat kolam kecil di Raydium, dan menggunakan wash trading untuk membangun riwayat harga yang meyakinkan. Tampak seperti pasar nyata, tetapi itu hanyalah sebuah setup yang dirancang untuk menipu sistem. Tujuannya sederhana. Menciptakan jaminan yang tampak bernilai tinggi, padahal didukung oleh hampir tidak ada apa-apa. 🫢 BAB 3: PINTU YANG TERBIASA TERBUKA Kemudian datang momen kritis. TRM melaporkan bahwa para penyerang menggunakan teknik rekayasa sosial untuk mendapatkan tanda tangan pra-setujuan tersembunyi dari para penandatangan multisig. Tak lama setelah itu, pada 27 Maret, Dewan Keamanan Drift beralih ke pengaturan 2/5 tanpa timelock sama sekali. Artinya, tidak ada penundaan lagi untuk menangkap tindakan mencurigakan. Sistem tidak lagi dilindungi oleh waktu. 🪙 BAB 4: PENCURIAN 1 APRIL Pada 1 April, semuanya bergerak sekaligus. Penyerang mendaftarkan CVT sebagai jaminan yang valid, meningkatkan batas penarikan, menyetor ratusan juta CVT, dan mulai menarik aset nyata. Dalam sekitar 12 menit, protokol dikosongkan. Jumlah besar USDC dan JLP diambil, dan dana segera dipindahkan, dengan sebagian besar besar di-bridge ke ethereum dalam hitungan jam. Yang tampak mendadak sebenarnya direncanakan selama berbulan-bulan. 🤓 BAB 5: PELAJARAN SEBENARNYA Ini bukan hanya masalah kontrak pintar. Ini adalah kombinasi dari manipulasi kepercayaan, identitas palsu, persetujuan pra-tanda tangan, penyalahgunaan oracle, dan kontrol tata kelola yang lemah. Para penyerang tidak memaksa masuk. Mereka mendapatkan akses dengan cara yang sah. Dan itulah yang membuat ini berbeda. Ketika penyerang menjadi mitra Anda terlebih dahulu, mereka tidak perlu merusak apa pun. Mereka sudah berada di dalam.
Bagikan
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini.
Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.