$285 triệu bị rút khỏi @DriftProtocol trong 12 phút. Ngày 1 tháng Tư. Không phải trò đùa. Hầu hết các bản phân tích hậu sự đều dừng lại ở “khóa bị xâm phạm”. Đã có hai vụ như vậy trong 10 ngày. Không vụ nào xảy ra theo cách mà hầu hết mọi người tưởng tượng. Cơ chế thực sự như sau ↓ — ➠ Một Tuần Trước Cuộc Tấn Công: Drift Chuyển Sang Multisig Mới Cấu hình: ▸ Ngưỡng ký 2 trong 5 ▸ Thời gian chờ 0 giây (thực thi ngay lập tức, không trì hoãn) ▸ 4 ví hoàn toàn mới ▸ 1 người ký được giữ lại từ cấu trúc trước đó Người ký được giữ lại chính là trụ cột then chốt. Năm giờ trước T=0, người ký được giữ lại đề xuất thay đổi địa chỉ quản trị của Drift. Một người ký mới cùng ký. Đạt ngưỡng. Không có thời gian chờ. Quyền quản trị được chuyển ngay lập tức. Tại thời điểm đó, kẻ tấn công có toàn quyền không giới hạn đối với toàn bộ giao thức. — ➠ Họ Sử Dụng Quyền Này Trong 12 Phút Trong 31 giao dịch, kẻ tấn công tạo ra một thị trường spot giả cho CarbonVote Token (CVT), một token vô giá trị mà chúng tự tạo ra. Chúng gán một oracle Switchboard mà chúng hoàn toàn kiểm soát, sau đó đẩy giá để khiến 500 triệu CVT trông có giá trị hàng trăm triệu đô la tài sản đảm bảo thực tế. Sau đó tăng hạn mức rút tiền lên 20 lần trên mọi thị trường chính: ▸ $USDC từ 25T lên 500T ▸ Tương tự với wETH, JLP, dSOL Tất cả các cơ chế ngắt quãng trong giao thức, bị vô hiệu hóa trong một giao dịch duy nhất. — ➠ Sau Đó Họ Rút Hết Kho JLP: từ 41,7 triệu xuống còn 133. 99,9997% biến mất. Con đường tiền: ▸ Kho Drift → ví drainer HkGz4KmoZ7 ▸ 9 giao dịch chuyển tài sản riêng biệt → ví tẩy rửa 8ubo4HbWJH ▸ Chuyển ra ethereum thông qua CCTP v2 của Circle và Wormhole Các tài sản trên con đường drainer này: ▸ 100,5 triệu USDC chia thành 4 lô ▸ 100 WBTC chuyển ra qua Wormhole ▸ 5,64 triệu USDT ▸ 5,25 triệu USDS ▸ 164 cbBTC Tổng số tài sản bị rút khỏi toàn bộ các con đường: $270 triệu – $285 triệu. — ➠ Circle không thực hiện bất kỳ hành động đóng băng nào. Mặc dù CCTP là cầu nối của chính họ. Mặc dù sự việc xảy ra trong giờ hành chính tại Mỹ. Mặc dù các công cụ giám sát trên chuỗi đã cảnh báo vụ khai thác ngay khi xảy ra. @circle không hành động ngay lập tức. Để so sánh, Circle gần đây đã đóng băng hơn 16 ví kinh doanh không liên quan nhưng lại không thể hành động đối với một vụ khai thác hàng trăm triệu đô la đang diễn ra. Hãy giải thích điều đó. — ➠ Thông Tin Trên Chuỗi Ví drainer (HkG...ZES) được nạp tiền thông qua Near Intents 8 ngày trước cuộc tấn công. Sau đó hoàn toàn im lặng, không có hoạt động nào cho đến đúng thời điểm các kho Drift bị tấn công. Ví tẩy rửa (8ub...Gxw và các địa chỉ liên quan) được nạp tiền chỉ một ngày trước vụ khai thác, thông qua Backpack. Backpack thực hiện KYC. Điều đó có nghĩa là có tên thật gắn với các ví này. Đây là sợi dây dễ nhận diện nhất trong toàn bộ hoạt động, và là một thất bại nghiêm trọng về an ninh vận hành. Địa chỉ ETH nhận được nạp trước khi khai thác thông qua @TornadoCash. Con đường thoát đã được xây dựng từ vài tuần đến vài tháng trước. Sự bất nhất này thường chỉ ra nhiều tác nhân với mức độ an ninh vận hành khác nhau. Đây cũng là sợi dây hữu ích nhất cho các nhà điều tra. — ➠ So Sánh Với @ResolvLabs Bị tấn công khoảng 10 ngày trước đó. Không có cuộc tấn công oracle. Không có tài sản đảm bảo giả. Một khóa SERVICE_ROLE bị xâm phạm được sử dụng để tạo trực tiếp các stablecoin USR không được đảm bảo vào thị trường. Cách thức thực hiện khác nhau, nhưng cùng một mô hình thất bại: một khóa đặc quyền duy nhất, không có thời gian chờ, không giới hạn tỷ lệ mà khóa đó có thể ủy quyền. Drift: khóa quản trị, oracle, tài sản đảm bảo giả, rút hết kho. Resolv: khóa dịch vụ, tạo token không được đảm bảo, bán ra. Cả hai đều không có thời gian chờ. Cả hai đều có khóa quản trị với quyền lực vô hạn. Cả hai đều phơi bày hàng trăm triệu đô la tiền của người dùng trước một điểm yếu duy nhất. — ➠ Nếu Bạn Có Tiền Trong Bất Kỳ Kho Chiến Lược Drift Nào Kiểm tra vị thế của bạn ngay bây giờ: AcePro, Algorithmica, ALT3 Capital, Circuit, Elemental, Equinox, Gauntlet, HaveMore, Knightrade, Kvants, M1, MetaEntropy, Neutral Trade, NX Finance, PrimeNumber, The Capital, Vectis, Vega Finance, ViXii. Hiện tại, Drift đã tạm dừng nạp và rút tiền. Không phải lời khuyên đầu tư. Tự tìm hiểu kỹ. An toàn nhé.