Сложный эксплойт, нацеленный на Drift Protocol, по‑видимому, позволил вывести около $285 млн после того, как атакующий манипулировал ценами оракула с помощью сфабрикованного токена, воспользовался скомпрометированным админ‑ключом и disabled core withdrawal safeguards.
Поддельное обеспечение, подготовленное за недели
Согласно ончейн‑анализу, опубликованному независимым исследователем Ares, эксплойт начался за несколько недель до фактического вывода средств. Атакующий выпустил 750 млн единиц фальшивого актива под названием «CarbonVote Token» (CVT) и создал пул ликвидности на Raydium (RAY) всего с $500 ликвидности, искусственно установив его цену около $1.
В течение нескольких недель атакующий, по сообщениям, занимался «сквозной» торговлей этим токеном, чтобы сформировать убедимую ончейн‑историю цен, что позволило механизмам оракула воспринимать его как легитимное обеспечение с реальной стоимостью.
Компрометация админ‑ключа и отключение защитных механизмов
1 апреля атакующий использовал скомпрометированный админ‑ключ Drift, чтобы листинговать CVT как спотовый рынок. В той же транзакции пороги защитных ограничений на вывод средств по нескольким рынкам были повышены до экстремальных значений, фактически отключив лимиты, призванные предотвращать крупные оттоки.
Также читайте: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
Затем атакующий депонировал примерно 785 млн CVT, оценённых в $785 млн на основе манипулируемой цены оракула, на нескольких счетах.
Выметание средств из хранилищ за минуты
Используя завышенное обеспечение, атакующий провёл 31 транзакцию на вывод примерно за 12 минут, выведя активы из нескольких хранилищ.
Среди них было $66,4 млн в USDC, $42,7 млн в JLP, $23,3 млн в MOODENG (MOODENG) и меньшие суммы других токенов.
Средства затем были консолидированы, частично «сожжены» через удаление перпетуальной ликвидности и конвертированы в SOL перед распределением по нескольким кошелькам.
Использование нескольких ключей подписи указывает либо на более широкую компрометацию операционной инфраструктуры, либо на доступ к привилегированным учётным данным, что вызывает дополнительные вопросы по поводу внутренних механизмов безопасности.
Читайте далее: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts