一起針對 Drift Protocol 的高階攻擊,疑似在攻擊者利用自製代幣操縱預言機價格、濫用遭入侵的管理員金鑰並停用核心提領防護後,抽走了估計約 2.85 億美元。
事前佈局數週的假抵押品
根據獨立研究員 Ares 分享的鏈上分析,這起攻擊在真正開始抽資金前數週就已佈局。攻擊者鑄造了 7.5 億枚名為「CarbonVote Token」(CVT)的假資產,並在 Raydium(RAY)上以僅約 500 美元的流動性建立流動性池,人為將其價格拉到接近 1 美元。
在接下來幾週內,攻擊者被指透過自我洗盤交易該代幣,以建立看似可信的鏈上價格紀錄,讓預言機機制將其納入,視為具有真實抵押價值的資產。
管理員金鑰遭入侵與防護機制被移除
4 月 1 日,攻擊者使用遭入侵的 Drift 管理員金鑰,將 CVT 上架為現貨市場。在同一筆交易中,多個市場的提領保護門檻被調高到極端數值,實質上等同關閉原本用來防止大額資金外流的限制機制。
延伸閱讀:Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
接著,攻擊者在多個帳戶中存入約 7.85 億枚 CVT,依照被操縱後的預言機價格,名義價值約為 7.85 億美元。
金庫在數分鐘內被掏空
利用膨脹後的抵押品價值,攻擊者在大約 12 分鐘內執行了 31 筆提領交易,從多個金庫中抽走資產。
其中包括 6640 萬美元的 USDC、4270 萬美元的 JLP、2330 萬美元的 MOODENG(MOODENG),以及數量較小的其他代幣。
隨後,資金被集中整理,部分透過移除永續流動性進行銷毀,並兌換成 SOL,之後再分散至多個錢包。
使用多把簽署金鑰的行為,顯示可能不只是單一金鑰外洩,而是營運基礎設施遭到更廣泛的入侵,或有多組高權限憑證被取得,進一步突顯內部安全控管的疑慮。
接下來看:CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts