Drift Protocol’ü hedef alan sofistike bir istismar, saldırganın uydurma bir token ile oracle fiyatlamasını manipüle etmesi, ele geçirilmiş bir admin anahtarından yararlanması ve temel çekim korumalarını devre dışı bırakması sonucunda tahmini 285 milyon doların boşaltılmasıyla sonuçlandı.
Haftalar Öncesinden Hazırlanan Sahte Teminat
Bağımsız araştırmacı Ares tarafından paylaşılan zincir üstü analize göre istismar, asıl boşaltmadan haftalar önce başladı. Saldırgan “CarbonVote Token” (CVT) adlı sahte bir varlıktan 750 milyon adet bastı ve sadece 500 dolar likidite ile Raydium (RAY) üzerinde bir likidite havuzu oluşturdu; böylece fiyatı yapay olarak 1 dolar civarına sabitledi.
Birkaç hafta boyunca saldırganın, token için güvenilir görünen bir zincir üstü fiyat geçmişi oluşturmak amacıyla yıkama işlemleri yaptığı bildirildi; bu da oracle mekanizmalarının onu meşru bir teminat değeri olarak algılamasına imkân verdi.
Admin Anahtarının Ele Geçirilmesi ve Koruma Mekanizmalarının Kaldırılması
1 Nisan’da saldırgan, ele geçirilmiş bir Drift admin anahtarını kullanarak CVT’yi spot piyasa olarak listeledi. Aynı işlem içinde, birden fazla piyasadaki çekim koruma eşikleri aşırı seviyelere yükseltildi; böylece büyük çıkışları önlemek için tasarlanan limitler fiilen devre dışı bırakıldı.
Ayrıca Oku: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
Ardından saldırgan, manipüle edilen oracle fiyatına göre 785 milyon dolar değer biçilen yaklaşık 785 milyon CVT’yi, birden fazla hesap üzerinden yatırdı.
Kasalar Dakikalar İçinde Boşaltıldı
Şişirilmiş teminatı kullanan saldırgan, yaklaşık 12 dakika içinde 31 çekim işlemi gerçekleştirerek çok sayıda kasadaki varlıkları boşalttı.
Boşaltılanlar arasında USDC cinsinden 66,4 milyon dolar, JLP cinsinden 42,7 milyon dolar, MOODENG (MOODENG) cinsinden 23,3 milyon dolar ve diğer tokenlardan daha küçük tutarlar yer aldı.
Fonlar daha sonra konsolide edildi, kısmen sürekli likidite kaldırma yoluyla yakıldı ve SOL’a çevrildikten sonra birden fazla cüzdana dağıtıldı.
Birden fazla imzalama anahtarının kullanılması, ya operasyonel altyapının daha geniş çaplı bir şekilde ele geçirildiğine ya da ayrıcalıklı kimlik bilgilerine erişim sağlandığına işaret ederek iç güvenlik kontrolleri hakkında ek endişeler doğuruyor.
Sırada Oku: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts