一名針對 Drift Protocol 的高級攻擊者,疑似在操縱預言機價格(利用自製代幣)、結合被盜用的管理金鑰,並關閉核心提款保護機制後,掏空約 2.85 億美元資產。
事前佈局:假抵押品提前數週鋪路
根據獨立研究員 Ares 分享的鏈上分析,這次攻擊早在實際掏空前數週就已開始。攻擊者先鑄造 7.5 億枚名為「CarbonVote Token」(CVT)的假資產,並在 Raydium(RAY)上建立流動性池,只投入約 500 美元的流動性,卻將其價格人為設定在接近 1 美元。
在接下來數週內,攻擊者透過自買自賣(洗盤交易)推高交易量與價格表現,營造出可信的鏈上價格歷史,讓預言機機制誤將其視為具有真實抵押價值的資產。
管理金鑰遭攻破與保護機制被移除
4 月 1 日,攻擊者利用被攻破的 Drift 管理金鑰,將 CVT 上架為現貨市場。在同一筆交易中,多個市場的提款保護閾值被大幅調高,實際上等同關閉原本用來限制大額資金外流的安全機制。
延伸閱讀: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
隨後,攻擊者陸續在多個帳戶中存入約 7.85 億枚 CVT,按被操縱的預言機價格計算,名義價值約為 7.85 億美元。
資金庫在數分鐘內被掏空
借助高估的抵押品價值,攻擊者在大約 12 分鐘內執行了 31 筆提款交易,從多個資金庫中掏空資產。
被盜資產包括 6,640 萬美元的 USDC、4,270 萬美元的 JLP、2,330 萬美元的 MOODENG(MOODENG),以及其他多種代幣的小額資金。
之後,這些資金被匯總整理,部分透過撤出永續流動性「燃燒」,再兌換為 SOL,最後分散到多個錢包地址。
攻擊全程使用了多把簽名金鑰,這可能意味著營運基礎設施遭到更廣泛入侵,或攻擊者取得了多組高權限憑證,進一步暴露出內部安全管控的嚴重問題。
下一步閱讀: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts