DriftProtocol'dan 12 dakikada 285 milyon dolar çalındı. 1 Nisan. Şaka değil. Çoğu olay sonrası analiz, "kompromizli anahtar"da durur. 10 gün içinde iki tane böyle olay oldu. İkisi de insanların çoğunun hayal ettiği şekilde olmadı. İşte gerçek mekanizma ↓ — ➠ Hacking'den Bir Hafta Önce: Drift, Yeni Çok imzalı Sisteme Geçti Yapı: ▸ 5'ten 2 imza eşiği ▸ 0 saniyelik zaman gecikmesi (anında yürütme, gecikme yok) ▸ 4 tamamen yeni cüzdan ▸ Önceki yapıdan devralınan 1 imzalayıcı Bu devralınan imzalayıcı, taşıyıcı duvardı. T=0'dan 5 saat önce, devralınan imzalayıcı Drift'in yönetici adresini değiştirmeyi önerdi. Yeni bir imzalayıcı birlikte imzaladı. Eşik sağlandı. Gecikme yok. Yönetim kontrolü anında aktarıldı. O anda, saldırganın protokolün tamamı üzerinde sınırsız yetkisi vardı. — ➠ 12 Dakikada Kullandılar 31 işlem boyunca, saldırgan kendileri ürettiği değersiz bir token olan CarbonVote Token (CVT) için sahte spot piyasası oluşturdu. Tamamen kontrol ettikleri bir Switchboard oracle'ını atadılar ve 500 milyon CVT'nin gerçek teminat olarak yüz milyonlarca dolar değerinde göründüğünü göstermek için onu yükselttiler. Ardından tüm büyük piyasalarda çekme limitlerini 20 kat artırdılar: ▸ $USDC: 25T'den 500T'ye ▸ wETH, JLP, dSOL için aynı Protokolün tüm devre kesicileri, tek bir işlemle devre dışı bırakıldı. — ➠ Sonra Çaldılar JLP kasesi: 41,7 milyondan 133 kaldı. %99,9997'si kayboldu. Para akışı: ▸ Drift Kasesi → drainer cüzdanı HkGz4KmoZ7 ▸ 9 ayrı varlık transferi → temizleyici cüzdanı 8ubo4HbWJH ▸ Circle'in CCTP v2 ve Wormhole üzerinden ethereum'a köprülendi Bu tek drainer yolunda yer alan varlıklar: ▸ 4 farklı parti halinde 100,5M USDC ▸ Wormhole üzerinden 100 WBTC ▸ 5,64M USDT ▸ 5,25M USDS ▸ 164 cbBTC Tüm yollar boyunca toplam protokol çalınması: 270 milyon – 285 milyon dolar. — ➠ Circle hiçbir dondurma eylemi yapmadı. CCTP'nin kendi köprüsü olmasına rağmen. ABD iş saatleri içinde gerçekleşmesine rağmen. Zincir üstü izleyicilerin olayı gerçek zamanlı olarak işaret etmesine rağmen. @circle hemen hiçbir eylemde bulunmadı. Bağlam olarak, Circle son zamanlarda 16'dan fazla bağımsız iş cüzdanını dondurdu ama devam eden dokuz haneli bir istismara müdahale edemedi. Bunu nasıl anlarsınız? — ➠ Zincir Üstü İnceleme Drainer cüzdanı (HkG...ZES), hacking'den 8 gün önce Near Intents aracılığıyla finanse edildi. Sonra tamamen uykuya geçti. Drift kalerlerine saldırı ana anına kadar hiçbir aktivite olmadı. Temizleyici cüzdan (8ub...Gxw ve bağlantılı adresler), saldırıdan bir gün önce Backpack aracılığıyla finanse edildi. Backpack KYC uyguluyor. Bu, bu cüzdanlara gerçek bir isim bağlandığı anlamına gelir. Bu, tüm operasyondaki en tanımlanabilir bağlantıdır ve önemli bir opsec hatasıdır. Alıcı ethereum adresi, saldırıdan önce @TornadoCash aracılığıyla hazırlandı. Çıkış yolu haftalar veya aylar öncesinden hazırlanmıştı. Bu tutarsızlık genellikle farklı seviyelerde operasyonel güvenlik uygulayan birden fazla aktör olduğunu gösterir. Aynı zamanda araştırmacılar için en faydalı ipucudur. — ➠ Bu Durumu @ResolvLabs ile Karşılaştırın Yaklaşık 10 gün önce hedef alındı. Hiçbir oracle saldırısı yok. Sahte teminat yok. Piyasaya doğrudan desteklenmeyen USR stablecoin'leri üretmek için compromised SERVICE_ROLE anahtarı kullanıldı. Farklı yürütme, aynı başarısızlık modeli: tek bir yetkili anahtar, zaman gecikmesi yok, bu anahtarın onaylayabileceği şeylere sınırlama yok. Drift: yönetici anahtarı, oracle, sahte teminat, kalerleri boşaltma. Resolv: hizmet anahtarı, desteklenmeyen token üretme, satma. İkisinde de sıfır zaman gecikmesi vardı. İkisinde de sınırsız yetkiye sahip yönetici anahtarları vardı. İkisinde de kullanıcı fonlarının yüz milyonlarca dolarlık kısmı tek bir başarısızlık noktasına maruz kaldı. — ➠ Drift Strateji Kalerlerinizde Para Var İse Şimdi pozisyonunuzu kontrol edin: AcePro, Algorithmica, ALT3 Capital, Circuit, Elemental, Equinox, Gauntlet, HaveMore, Knightrade, Kvants, M1, MetaEntropy, Neutral Trade, NX Finance, PrimeNumber, The Capital, Vectis, Vega Finance, ViXii. Şu anda Drift yatırma ve çekme işlemlerini durdurdu. NFA. DYOR. Güvenli kalın.