Een geavanceerde exploit op Drift Protocol heeft naar schatting $285 miljoen leeggetrokken nadat een aanvaller oracle-prijzen manipuleerde met een gefabriceerd token, een gecompromitteerde admin-sleutel gebruikte en disabled core withdrawal safeguards.
Nep onderpand weken van tevoren opgebouwd
Volgens on-chainanalyse, gedeeld door onafhankelijke onderzoeker Ares, begon de exploit weken vóór de daadwerkelijke leegtrek. De aanvaller mintte 750 miljoen eenheden van een nep-asset genaamd “CarbonVote Token” (CVT) en creëerde een liquiditeitspool op Raydium (RAY) met slechts $500 aan liquiditeit, waarmee de prijs kunstmatig rond $1 werd gezet.
Gedurende meerdere weken zou de aanvaller het token hebben gewashtraded om een geloofwaardige on-chain prijsgeschiedenis op te bouwen, zodat oracle-mechanismen het konden oppikken als legitieme onderpandwaarde.
Compromittering van admin-sleutel en uitschakelen van beveiligingen
Op 1 april gebruikte de aanvaller een gecompromitteerde Drift-adminsleutel om CVT als spotmarkt te noteren. In dezelfde transactie werden de withdrawal guard-drempels op meerdere markten tot extreme niveaus verhoogd, waarmee limieten die grote uitstroom moesten voorkomen, effectief werden uitgeschakeld.
Ook lezen: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
De aanvaller stortte vervolgens ongeveer 785 miljoen CVT, gewaardeerd op $785 miljoen op basis van de gemanipuleerde oracle-prijs, over meerdere accounts.
Kluisfondsen in minuten leeggetrokken
Met het opgeblazen onderpand voerde de aanvaller 31 withdrawal-transacties uit in ongeveer 12 minuten, waarbij tegoeden uit meerdere kluizen werden leeggehaald.
Het ging onder meer om $66,4 miljoen in USDC, $42,7 miljoen in JLP, $23,3 miljoen in MOODENG (MOODENG) en kleinere bedragen in andere tokens.
De fondsen werden vervolgens geconsolideerd, deels verbrand via het verwijderen van perpetual liquiditeit en omgezet in SOL voordat ze over meerdere wallets werden verdeeld.
Het gebruik van meerdere signing keys suggereert ofwel een bredere compromittering van de operationele infrastructuur of toegang tot bevoorrechte inloggegevens, wat extra zorgen oproept over interne beveiligingscontroles.
Lees hierna: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts