針對 Drift Protocol 的一場高度複雜攻擊,疑似在攻擊者利用偽造代幣操控預言機價格、 濫用被盜管理金鑰並關閉核心提現保護機制後, 最終掏空約 2.85 億美元資產。
提前數星期鋪排的假抵押品
根據獨立研究員 Ares 分享的鏈上分析,攻擊在實際掏空資金前已經醞釀數星期。 攻擊者先鑄造 7.5 億單位名為「CarbonVote Token」(CVT)的假資產, 並只用約 500 美元在 Raydium(RAY)上建立流動性池, 人為將其價格設定在接近 1 美元。
在隨後數星期內,攻擊者據報透過自買自賣方式洗盤該代幣, 建立看似可信的鏈上價格歷史,令其得以被預言機機制視為具真實抵押價值的資產。
管理金鑰被攻陷與保護機制移除
4 月 1 日,攻擊者利用遭攻陷的 Drift 管理員金鑰,將 CVT 新增為現貨市場。 在同一筆交易中,多個市場的提現保護閾值被大幅調高至極端水平, 等同實質上關閉了原本用以阻止巨額資金外流的限制機制。
延伸閱讀: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
其後,攻擊者在多個帳戶中一共存入約 7.85 億枚 CVT, 若以被操控的預言機價格計算,名義市值約為 7.85 億美元。
數分鐘內被掏空的資金庫
借助被大幅抬高的抵押品價值,攻擊者在約 12 分鐘內發出 31 筆提現交易, 從多個資金庫中掏走資產。
被盜資產包括 6,640 萬美元的 USDC, 4,270 萬美元的 JLP, 2,330 萬美元的 MOODENG(MOODENG), 以及較小數量的其他代幣。
之後,資金被集中整理,部分透過移除永續流動性方式「銷毀」, 並兌換成 SOL,再分散至多個錢包。
使用多把簽名金鑰的行為,顯示可能不僅是單一帳戶被入侵, 而是更廣泛的營運基礎設施遭到攻陷,或攻擊者取得多組高權限憑證, 進一步引發對內部安全管控的嚴重憂慮。
下一篇: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts