استهدف استغلال معقد بروتوكول Drift ويبدو أنه أدى إلى تصريف نحو 285 مليون دولار، بعد أن تلاعب المهاجم بتسعير الأوركل باستخدام توكن مُصنّع، واستغل مفتاحًا إداريًا مخترقًا وعطّل آليات الحماية الأساسية لعمليات السحب.
ضمانات مزيفة بُنيت قبل أسابيع
وفقًا لتحليل على السلسلة شاركه الباحث المستقل Ares، بدأ الاستغلال قبل أسابيع من عملية التصريف الفعلية. قام المهاجم بسكّ 750 مليون وحدة من أصل مزيف يسمى "CarbonVote Token" (CVT)، وأنشأ مجمع سيولة على Raydium (RAY) بإجمالي سيولة لا يتجاوز 500 دولار، مما سمح بتحديد سعره بشكل مصطنع قرب 1 دولار.
على مدى عدة أسابيع، يُقال إن المهاجم نفذ عمليات تداول غسيل للتوكن لبناء سجل سعري موثوق على السلسلة، بما يسمح لآليات الأوركل بالتقاطه كضمان ذي قيمة مشروعة.
اختراق المفتاح الإداري وإزالة آليات الحماية
في 1 أبريل، استخدم المهاجم مفتاحًا إداريًا مخترقًا من Drift لإدراج CVT كسوق فوري. وفي نفس المعاملة، تم رفع عتبات حراس السحب عبر عدة أسواق إلى مستويات قصوى، ما عطل فعليًا الحدود المصممة لمنع التدفقات الخارجة الكبيرة.
اقرأ أيضًا: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
بعد ذلك أودع المهاجم حوالي 785 مليون من CVT، بقيمة نظرية 785 مليون دولار بناءً على سعر الأوركل المُتلاعب به، وذلك عبر عدة حسابات.
استنزاف الخزائن في دقائق
باستخدام الضمانات المنتفخة، نفذ المهاجم 31 معاملة سحب في حوالي 12 دقيقة، مستنزفًا الأصول عبر عدة خزائن.
شمل ذلك 66.4 مليون دولار من USDC، و42.7 مليون دولار من JLP، و23.3 مليون دولار من MOODENG (MOODENG) ومبالغ أصغر من توكنات أخرى.
جرى لاحقًا تجميع الأموال، وحرق جزء منها عبر إزالة سيولة دائمة، وتحويل جزء منها إلى SOL قبل توزيعها عبر عدة محافظ.
يشير استخدام عدة مفاتيح توقيع إلى إما اختراق أوسع للبنية التحتية التشغيلية أو حصول المهاجم على بيانات اعتماد ذات صلاحيات عالية، ما يثير مزيدًا من المخاوف بشأن ضوابط الأمن الداخلي.
اقرأ التالي: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts