Сложный эксплойт против Drift Protocol привёл к выводу примерно $285 млн после того, как атакующий манипулировал ценами оракула с помощью поддельного токена, использовал скомпрометированный админ‑ключ и disabled core withdrawal safeguards.
Поддельный залог, подготовленный за несколько недель
Согласно ончейн‑анализу независимого исследователя Ares, подготовка к эксплойту началась за недели до фактического вывода средств. Злоумышленник выпустил 750 млн единиц поддельного актива под названием «CarbonVote Token» (CVT) и создал пул ликвидности на Raydium (RAY) всего с $500 ликвидности, искусственно установив цену около $1.
В течение нескольких недель атакующий, по сообщениям, занимался ваш‑трейдингом токена, чтобы создать правдоподобную ончейн‑историю цен, позволяющую механизмам оракула воспринимать его как легитимный залог с реальной стоимостью.
Компрометация админ‑ключа и отключение защит
1 апреля злоумышленник с помощью скомпрометированного админ‑ключа Drift добавил CVT как спотовый рынок. В той же транзакции пороги withdrawal guard по нескольким рынкам были подняты до экстремальных уровней, по сути отключив лимиты, призванные предотвращать крупные оттоки.
Также читайте: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
Затем атакующий депонировал примерно 785 млн CVT — по манипулируемой цене оракула это оценивалось в $785 млн — на несколько аккаунтов.
Хранилища опустошены за минуты
Имея раздутый залог, злоумышленник провёл 31 транзакцию вывода примерно за 12 минут, опустошив активы из нескольких хранилищ.
Среди них было $66,4 млн в USDC, $42,7 млн в JLP, $23,3 млн в MOODENG (MOODENG) и меньшие суммы других токенов.
Средства затем были консолидированы, частично «сожжены» через удаление ликвидности с перпетуалов и конвертированы в SOL, после чего распределены по множеству кошельков.
Использование нескольких ключей подписи указывает либо на более широкую компрометацию операционной инфраструктуры, либо на доступ к привилегированным учётным данным, что ещё больше усиливает опасения по поводу внутренних мер безопасности.
Читайте далее: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts