정교하게 설계된 익스플로잇이 Drift Protocol을 노리며, 공격자가 조작된 오라클 가격과 제작된 토큰을 이용하고 탈취된 관리자 키를 활용해 핵심 출금 안전장치를 비활성화한 뒤 약 2억 8,500만 달러를 탈취한 것으로 보인다.
몇 주 전부터 준비된 가짜 담보
독립 연구자 Ares가 공유한 온체인 분석에 따르면, 실제 자금 유출이 일어나기 몇 주 전부터 익스플로잇이 시작됐다. 공격자는 “CarbonVote Token”(CVT)이라는 가짜 자산 7억 5,000만 개를 발행하고, 단 500달러의 유동성만 넣어 Raydium (RAY)에 유동성 풀을 만들며 토큰 가격을 인위적으로 약 1달러 수준에 고정했다.
이후 몇 주에 걸쳐 공격자는 이 토큰을 반복적으로 세탁 거래하며 온체인 가격 이력에 신뢰도를 쌓았고, 이를 통해 오라클 메커니즘이 CVT를 합법적인 담보 가치로 인식하도록 만들었다.
관리자 키 탈취와 안전장치 해제
4월 1일, 공격자는 탈취한 Drift 관리자 키를 사용해 CVT를 현물 마켓에 상장했다. 같은 트랜잭션 안에서 여러 마켓에 걸쳐 출금 가드 한도를 극단적인 수준으로 상향 조정해, 대규모 자금 유출을 막기 위한 제한 장치를 사실상 무력화했다.
Also Read: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
이후 공격자는 조작된 오라클 가격을 기준으로 약 7억 8,500만 CVT(가치 약 7억 8,500만 달러로 평가)를 여러 계정에 예치했다.
몇 분 만에 고갈된 볼트
부풀려진 담보를 바탕으로 공격자는 약 12분 동안 31건의 출금 트랜잭션을 실행하며 여러 볼트의 자산을 탈취했다.
여기에는 USDC 6,640만 달러, JLP 4,270만 달러, MOODENG (MOODENG) 2,330만 달러와 기타 토큰의 소규모 물량이 포함됐다.
이후 자금은 하나로 모아졌고, 일부는 퍼피추얼 유동성 제거 과정을 거치며 소각된 뒤, SOL로 전환되어 여러 지갑으로 분산 이체됐다.
다수의 서명 키가 사용된 점은 운영 인프라 전반이 더 넓게 침해되었거나, 특권 자격 증명에 대한 접근이 있었을 가능성을 시사하며 내부 보안 통제에 대한 추가 우려를 낳고 있다.
Read Next: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts