攻撃者は、偽造トークンを使ったオラクル価格操作と侵害された管理者キーを悪用し、 コアの出金保護機能を無効化することで、 Drift Protocolから推定2億8,500万ドルを流出させたとみられる。
数週間前から仕込まれていた偽の担保
独立系リサーチャーのAresが共有したオンチェーン分析によると、 実際の資金流出が起こる数週間前からエクスプロイトは始まっていた。 攻撃者は「CarbonVote Token」(CVT)と呼ばれる偽の資産を7億5,000万枚ミントし、 わずか500ドル分の流動性だけでRaydium(RAY)上に流動性プールを作成し、 その価格を人為的にほぼ1ドルに設定した。
その後数週間にわたり、攻撃者はトークンのウォッシュトレードを行い、 オンチェーン上でもっともらしい価格履歴を構築。 これにより、オラクルメカニズムに正当な担保価値として拾われる状況を作り出した。
管理者キーの侵害と保護機能の解除
4月1日、攻撃者は侵害されたDriftの管理者キーを使い、CVTをスポット市場として上場させた。 同じトランザクション内で、複数市場における出金ガードのしきい値を極端な水準まで引き上げ、 大規模な資金流出を防ぐためのリミットを事実上無効化した。
Also Read: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
その後、攻撃者は操作されたオラクル価格に基づき、 評価額7億8,500万ドル相当となる約7億8,500万枚のCVTを複数アカウントに入金した。
数分で空になったボールト
この水増しされた担保を使い、攻撃者は約12分の間に31件の出金トランザクションを実行し、 複数のボールトから資産を吸い上げた。
これには、USDCで6,640万ドル、JLPで4,270万ドル、 MOODENG(MOODENG)で2,330万ドル、 その他のトークンの少額残高などが含まれていた。
資金はその後、一度集約されたのち、 永久的な流動性の除去を通じて一部がバーンされ、 SOLへと変換されたうえで複数のウォレットに分散された。
複数の署名キーが使用されていたことから、 運用インフラ全体の広範な侵害、もしくは特権的な認証情報へのアクセスがあった可能性が示唆されており、 内部のセキュリティ管理体制に対する懸念が一層高まっている。
Read Next: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts