Ein ausgefeilter Exploit gegen Drift Protocol hat offenbar schätzungsweise 285 Millionen Dollar abgezogen, nachdem ein Angreifer Oracle-Preise mit einem erfundenen Token manipuliert, einen kompromittierten Admin-Schlüssel ausgenutzt und disabled core withdrawal safeguards.
Wochenlang vorbereitete Fake-Sicherheiten
Laut On-Chain-Analyse des unabhängigen Forschers Ares begann der Exploit Wochen vor dem eigentlichen Abzug. Der Angreifer prägte 750 Millionen Einheiten eines Fake-Assets namens „CarbonVote Token“ (CVT) und erstellte einen Liquiditätspool auf Raydium (RAY) mit nur 500 Dollar Liquidität, wodurch der Preis künstlich nahe 1 Dollar festgelegt wurde.
Über mehrere Wochen soll der Angreifer den Token mittels Wash-Trading gehandelt haben, um eine glaubwürdige On-Chain-Preishistorie aufzubauen, sodass er von Oracle-Mechanismen als legitimer Sicherheitenwert erfasst wurde.
Kompromittierter Admin-Schlüssel und Entfernung von Schutzmechanismen
Am 1. April nutzte der Angreifer einen kompromittierten Drift-Admin-Schlüssel, um CVT als Spotmarkt zu listen. In derselben Transaktion wurden die Schwellenwerte der Withdrawal Guards über mehrere Märkte hinweg auf extreme Niveaus angehoben, wodurch Limits, die große Abflüsse verhindern sollten, faktisch außer Kraft gesetzt wurden.
Auch lesen: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
Anschließend hinterlegte der Angreifer rund 785 Millionen CVT, bewertet mit 785 Millionen Dollar auf Basis des manipulierten Oracle-Preises, auf mehreren Konten.
Tresore in Minuten geleert
Mit den aufgeblähten Sicherheiten führte der Angreifer innerhalb von etwa 12 Minuten 31 Auszahlungstransaktionen aus und leerte Vermögenswerte aus mehreren Tresoren.
Dazu gehörten 66,4 Millionen Dollar in USDC, 42,7 Millionen Dollar in JLP, 23,3 Millionen Dollar in MOODENG (MOODENG) sowie kleinere Beträge anderer Token.
Die Gelder wurden anschließend konsolidiert, teilweise durch Entfernung von Perpetual-Liquidität „verbrannt“ und in SOL umgewandelt, bevor sie auf mehrere Wallets verteilt wurden.
Die Nutzung mehrerer Signierschlüssel deutet entweder auf eine weitergehende Kompromittierung der Betriebsinfrastruktur oder auf Zugriff auf privilegierte Zugangsdaten hin und wirft weitere Fragen zu internen Sicherheitskontrollen auf.
Als Nächstes lesen: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts