$285 млн похищено из @DriftProtocol за 12 минут. 1 апреля. Не шутка. Большинство постмортемов останавливаются на «скомпрометированный ключ». За 10 дней произошло два таких инцидента. Ни один из них не произошёл так, как большинство людей себе представляют. Вот настоящий механизм ↓ — ➠ Неделю до взлома: Drift перешёл на новый мультиподпись Настройка: ▸ порог подписей 2 из 5 ▸ таймлок 0 секунд (мгновенное выполнение, без задержки) ▸ 4 совершенно новых кошелька ▸ 1 сохранённый подписантер из предыдущей структуры Этот сохранённый подписантер был несущей стеной. За пять часов до T=0 сохранённый подписантер предложил изменить административный адрес Drift. Один новый подписантер подписал. Порог достигнут. Без задержки. Контроль администратора мгновенно перешёл. В этот момент злоумышленник получил полные неограниченные полномочия над всем протоколом. — ➠ Они воспользовались этим за 12 минут В рамках 31 транзакции злоумышленник создал фиктивный спотовый рынок для токена CarbonVote (CVT) — бесполезного токена, который он сам создал. Он назначил оракул Switchboard, которым полностью контролировал, и завысил его цену, чтобы 500 млн CVT выглядели как сотни миллионов реального обеспечения. Затем он увеличил лимиты на вывод в 20 раз по всем основным рынкам: ▸ $USDC с 25T до 500T ▸ То же самое для wETH, JLP, dSOL Все системы аварийного отключения в протоколе были отключены в одной транзакции. — ➠ Затем они вывели средства Кошелёк JLP: с 41,7 млн до 133 осталось. Утрачено 99,9997%. Путь вывода средств: ▸ Кошелёк Drift → кошелёк drainer HkGz4KmoZ7 ▸ 9 отдельных переводов активов → кошелёк-отмывальщик 8ubo4HbWJH ▸ Переведено на ethereum через Circle’s CCTP v2 и Wormhole Активы на этом единственном пути вывода: ▸ 100,5 млн USDC в 4 партиях ▸ 100 WBTC выведено через Wormhole ▸ 5,64 млн USDT ▸ 5,25 млн USDS ▸ 164 cbBTC Общий объём похищенных средств по всем путям: $270 млн – $285 млн. — ➠ Circle не предпринял никаких действий по заморозке. Несмотря на то, что CCTP — их собственный мост. Несмотря на то, что это произошло в рабочие часы США. Несмотря на то, что мониторы в реальном времени зафиксировали эксплойт. @circle не предпринял немедленных действий. Для контекста: Circle недавно заморозил более 16 независимых бизнес-кошельков, но не смог среагировать на эксплойт на сумму сотни миллионов в процессе. Объясните это. — ➠ Он-чейн данные Кошелёк drainer (HkG...ZES) был профинансирован через Near Intents за 8 дней до взлома. После этого полностью неактивен — никакой активности до момента атаки на кошельки Drift. Кошелёк-отмывальщик (8ub...Gxw и связанные адреса) был профинансирован всего за один день до эксплойта через Backpack. Backpack проводит KYC. Это означает, что к этим кошелькам привязано реальное имя. Это самый идентифицируемый след во всей операции — серьёзный провал в операционной безопасности. Получающий ethereum-адрес был заполнен через @TornadoCash до эксплойта. Путь выхода был подготовлен за недели или месяцы до атаки. Эта несогласованность обычно указывает на несколько участников с разным уровнем операционной безопасности — и это наиболее полезная нить для расследования. — ➠ Сравните с @ResolvLabs Атака произошла примерно за 10 дней до этого. Нет атаки на оракул. Нет фиктивного обеспечения. Использован скомпрометированный ключ SERVICE_ROLE для создания непокрытых стейблкоинов USR напрямую на рынке. Разная тактика, идентичная причина сбоя: один привилегированный ключ, без таймлока, без лимитов на то, что этот ключ может авторизовать. Drift: ключ администратора, оракул, фиктивное обеспечение, вывод средств из хранилищ. Resolv: сервисный ключ, выпуск непокрытых токенов, продажа. У обоих отсутствовал таймлок. У обоих ключ администратора имел неограниченные полномочия. У обоих сотни миллионов средств пользователей оказались под угрозой из-за единой точки отказа. — ➠ Если у вас есть средства в каких-либо из этих стратегических хранилищ Drift Проверьте свою позицию сейчас: AcePro, Algorithmica, ALT3 Capital, Circuit, Elemental, Equinox, Gauntlet, HaveMore, Knightrade, Kvants, M1, MetaEntropy, Neutral Trade, NX Finance, PrimeNumber, The Capital, Vectis, Vega Finance, ViXii. В настоящее время Drift приостановил депозиты и выводы. NFA. DYOR. Будьте осторожны.