US$285 milhões roubados do @DriftProtocol em 12 minutos. 1º de abril. Não é piada. A maioria das análises pós-ataque para em “chave comprometida”. Houve duas dessas em 10 dias. Nenhuma ocorreu da maneira que a maioria das pessoas imagina. Aqui está o mecanismo real ↓ — ➠ Uma Semana Antes do Hack: Drift Migrou para um Novo Multisig A configuração: ▸ Limite de assinatura de 2 de 5 ▸ Timelock de 0 segundos (execução instantânea, sem atraso) ▸ 4 novas carteiras ▸ 1 assinante herdado da estrutura anterior Esse assinante herdado era a parede de sustentação. Cinco horas antes de T=0, o assinante herdado propôs alterar o endereço administrativo do Drift. Um novo assinante co-assinou. Limite atingido. Sem atraso. O controle administrativo foi transferido instantaneamente. Nesse momento, o atacante tinha autoridade ilimitada sobre todo o protocolo. — ➠ Eles O Usaram em 12 Minutos Em 31 transações, o atacante criou um mercado spot falso para o CarbonVote Token (CVT), um token sem valor que eles próprios cunharam. Eles atribuíram um oracle Switchboard que controlavam totalmente e o manipularam para fazer com que 500 milhões de CVT parecessem valer centenas de milhões em garantias reais. Em seguida, aumentaram os limites de saque em 20x em todos os principais mercados: ▸ $USDC de 25T para 500T ▸ Mesmo para wETH, JLP, dSOL Todos os disjuntores do protocolo desativados em uma única transação. — ➠ Então Eles Esvaziaram Cofre JLP: de 41,7 milhões para 133 restantes. 99,9997% sumidos. O caminho do dinheiro: ▸ Cofre Drift → carteira do roubador HkGz4KmoZ7 ▸ 9 transferências separadas de ativos → carteira de lavagem 8ubo4HbWJH ▸ Transferidos para ethereum via CCTP v2 da Circle e Wormhole Ativos nesse único caminho de roubo: ▸ 100,5 milhões de USDC em 4 lotes ▸ 100 WBTC enviados via Wormhole ▸ 5,64 milhões de USDT ▸ 5,25 milhões de USDS ▸ 164 cbBTC Total roubado do protocolo em todos os caminhos: US$270 milhões a US$285 milhões. — ➠ A Circle não tomou nenhuma ação de congelamento. Apesar do CCTP ser sua própria ponte. Apesar disso ter acontecido durante horário comercial nos EUA. Apesar dos monitores on-chain terem sinalizado o exploit em tempo real. @circle não tomando nenhuma ação imediata. Para contexto, a Circle recentemente congelou mais de 16 carteiras de negócios não relacionadas, mas não conseguiu agir sobre um exploit de centenas de milhões em andamento. Tente entender isso. — ➠ O Intel On-Chain A carteira do roubador (HkG...ZES) foi financiada via Near Intents 8 dias antes do hack. Depois entrou em completo silêncio. Nenhuma atividade até o momento em que os cofres do Drift foram atingidos. A carteira de lavagem (8ub...Gxw e endereços vinculados) foi financiada apenas um dia antes do exploit, via Backpack. Backpack realiza KYC. Isso significa que um nome real está vinculado a essas carteiras. Essa é a pista mais identificável de toda a operação e um grande erro de opsec. O endereço ETH receptor foi abastecido via @TornadoCash antes do exploit. A rota de saída foi construída semanas ou meses antes. Essa inconsistência geralmente aponta para múltiplos atores com diferentes níveis de segurança operacional. Também é a pista mais útil para investigadores. — ➠ Compare Isso com @ResolvLabs Atacado cerca de 10 dias antes. Nenhum ataque de oracle. Nenhuma garantia falsa. Uma chave SERVICE_ROLE comprometida usada para cunhar stablecoins USR sem lastro diretamente no mercado. Execução diferente, modo de falha idêntico: uma única chave privilegiada, sem timelock, sem limites de taxa no que essa chave poderia autorizar. Drift: chave administrativa, oracle, garantia falsa, esvaziamento dos cofres. Resolv: chave de serviço, cunhagem de tokens sem lastro, venda. Ambos tinham zero timelocks. Ambos tinham chaves administrativas com autoridade ilimitada. Ambos expuseram centenas de milhões em fundos dos usuários a um único ponto de falha. — ➠ Se Você Tem Fundos em Algum desses Cofres de Estratégia do Drift Verifique sua posição agora: AcePro, Algorithmica, ALT3 Capital, Circuit, Elemental, Equinox, Gauntlet, HaveMore, Knightrade, Kvants, M1, MetaEntropy, Neutral Trade, NX Finance, PrimeNumber, The Capital, Vectis, Vega Finance, ViXii. Atualmente, o Drift suspendeu depósitos e saques. NFA. DYOR. Fique seguro.