정교하게 설계된 Drift Protocol 타깃 익스플로잇으로 인해, 공격자는 조작된 오라클 가격과 가짜 토큰을 이용하고 탈취된 관리자 키를 활용해 자금을 유출해 약 2억 8,500만 달러를 빼낸 것으로 보인다. 이 과정에서 공격자는 핵심 출금 안전장치를 비활성화했다.
몇 주 전부터 준비된 가짜 담보 자산
독립 연구자 Ares가 공유한 온체인 분석에 따르면, 실제 자금 유출이 일어나기 몇 주 전부터 익스플로잇이 준비되기 시작했다. 공격자는 “CarbonVote Token”(CVT)이라는 가짜 자산 7억 5,000만 개를 발행하고, 단 500달러의 유동성만 넣어 Raydium(RAY)에 유동성 풀을 만들어 토큰 가격을 인위적으로 1달러 수준으로 설정했다.
이후 몇 주에 걸쳐 공격자는 이 토큰을 세탁 거래(wash trade)하여 그럴듯한 온체인 가격 히스토리를 구축했고, 이를 통해 오라클 메커니즘이 이 자산을 실제 담보 가치가 있는 토큰으로 인식하도록 만들었다.
관리자 키 탈취와 안전장치 해제
4월 1일, 공격자는 탈취된 드리프트 관리자 키를 사용해 CVT를 현물 시장에 상장했다. 같은 트랜잭션에서 여러 시장의 출금 가드 한도를 비정상적으로 높은 수준으로 올려, 대규모 출금 방지를 위해 설계된 제한 장치를 사실상 무력화했다.
Also Read: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
그 후 공격자는 조작된 오라클 가격 기준으로 7억 8,500만 달러로 평가된 약 7억 8,500만 개의 CVT를 여러 계정에 입금했다.
수 분 만에 고갈된 볼트
부풀려진 담보를 이용해 공격자는 약 12분 동안 31건의 출금 트랜잭션을 실행하며 여러 볼트에서 자산을 빼냈다.
여기에는 USDC 6,640만 달러, JLP 4,270만 달러, MOODENG(MOODENG) 2,330만 달러와 그 외 소량의 다른 토큰들이 포함됐다.
이후 자금은 한데 모아졌고, 일부는 영구 유동성 제거를 통해 소각되었으며, 이후 SOL로 전환되어 여러 지갑으로 분산됐다.
다수의 서명 키가 사용된 점을 고려하면, 운영 인프라 전반이 더 광범위하게 침해되었거나, 특권 자격 증명에 대한 접근 권한이 있었을 가능성이 제기되며, 내부 보안 통제에 대한 우려가 더욱 커지고 있다.
Read Next: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts