Drift Protocol’ü hedef alan sofistike bir exploit, saldırganın uydurma bir token kullanarak oracle fiyatlarını manipüle etmesi, ele geçirilmiş bir admin anahtarından yararlanması ve disabled core withdrawal safeguards sonrasında yaklaşık 285 milyon doların boşaltılmasına yol açmış gibi görünüyor.
Haftalar Öncesinden Hazırlanan Sahte Teminat
Bağımsız araştırmacı Ares tarafından paylaşılan zincir üstü analize göre exploit, gerçek boşaltmadan haftalar önce başladı. Saldırgan, “CarbonVote Token” (CVT) adlı sahte bir varlıktan 750 milyon adet bastı ve yalnızca 500 $ likidite ile Raydium (RAY) üzerinde bir likidite havuzu oluşturdu; bu da fiyatını yapay olarak 1 $’a yakın bir seviyeye sabitledi.
Birkaç hafta boyunca saldırganın, token için zincir üstü güvenilir bir fiyat geçmişi oluşturmak amacıyla yıkama işlemleri yaptığı ve böylece oracle mekanizmalarının bunu meşru teminat değeri olarak algılamasını sağladığı bildirildi.
Admin Anahtarının Ele Geçirilmesi ve Koruyucu Önlemlerin Kaldırılması
1 Nisan’da saldırgan, ele geçirilmiş bir Drift admin anahtarı kullanarak CVT’yi spot piyasa olarak listeledi. Aynı işlem içinde, birden fazla piyasadaki çekim koruma eşikleri aşırı seviyelere yükseltildi ve böylece büyük çıkışları engellemek için tasarlanan limitler fiilen devre dışı bırakıldı.
Ayrıca Oku: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
Ardından saldırgan, manipüle edilmiş oracle fiyatına göre 785 milyon dolar değer biçilen yaklaşık 785 milyon CVT’yi birden fazla hesaba yatırdı.
Kasalar Dakikalar İçinde Boşaltıldı
Şişirilmiş teminatı kullanan saldırgan, yaklaşık 12 dakika içinde 31 çekim işlemi gerçekleştirerek birden fazla kasadaki varlıkları boşalttı.
Boşaltılanlar arasında USDC cinsinden 66,4 milyon dolar, JLP cinsinden 42,7 milyon dolar, MOODENG (MOODENG) cinsinden 23,3 milyon dolar ve diğer tokenlarda daha küçük meblağlar bulunuyordu.
Fonlar daha sonra konsolide edildi, kısmen kalıcı likidite kaldırımı yoluyla yakıldı ve SOL’a çevrildikten sonra birden fazla cüzdana dağıtıldı.
Birden fazla imzalama anahtarının kullanılması, daha geniş bir operasyonel altyapı ihlaline ya da ayrıcalıklı kimlik bilgilerine erişime işaret ediyor; bu da dahili güvenlik kontrollerine ilişkin endişeleri daha da artırıyor.
Sonraki Oku: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts