Складний експлойт, спрямований проти Drift Protocol, імовірно, призвів до втрати приблизно $285 млн після того, як зловмисник маніпулював цінами оракла за допомогою вигаданого токена, скористався скомпрометованим адмін-ключем і disabled core withdrawal safeguards.
Підроблене забезпечення, підготовлене за кілька тижнів
Згідно з ончейн-аналізом, яким поділився незалежний дослідник Ares, експлойт розпочався за кілька тижнів до фактичного виведення коштів. Зловмисник емісував 750 млн одиниць фейкового активу під назвою “CarbonVote Token” (CVT) і створив пул ліквідності на Raydium (RAY) лише з $500 ліквідності, штучно встановивши його ціну близько $1.
Протягом декількох тижнів зловмисник, за повідомленнями, займався вош-трейдингом цього токена, щоб створити достовірну ончейн-цінову історію, що дозволило механізмам ораклів сприйняти його як легітимне забезпечення.
Компрометація адмін-ключа та вимкнення запобіжників
1 квітня зловмисник за допомогою скомпрометованого адмін-ключа Drift додав CVT як спотовий ринок. У цій самій транзакції пороги захисту на виведення для кількох ринків були підняті до екстремальних значень, фактично відключивши ліміти, покликані запобігти великим відтокам коштів.
Also Read: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
Потім зловмисник вніс приблизно 785 млн CVT, оцінених у $785 млн на основі маніпульованої ціни оракла, на кілька акаунтів.
Виснаження сховищ за лічені хвилини
Використовуючи завищене забезпечення, зловмисник здійснив 31 транзакцію на виведення приблизно за 12 хвилин, вивівши активи з кількох сховищ.
Серед них було $66,4 млн у USDC, $42,7 млн у JLP, $23,3 млн у MOODENG (MOODENG) і менші суми інших токенів.
Надалі кошти були консолідовані, частково спалені через видалення перпетуальної ліквідності та конвертовані в SOL перед тим, як їх розподілили між кількома гаманцями.
Використання кількох ключів підпису свідчить або про ширший компроміс операційної інфраструктури, або про доступ до привілейованих облікових даних, що викликає додаткові побоювання щодо внутрішніх систем безпеки.
Read Next: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts