一起针对 Drift Protocol 的复杂攻击事件中,攻击者通过使用伪造代币操纵预言机价格、利用被攻陷的管理员密钥并停用关键提现安全机制,疑似抽走约 2.85 亿美元资金。
数周前就开始构建的“假抵押品”
根据独立研究员 Ares 分享的链上分析,这次攻击在真正开始抽走资金的数周前就已埋下伏笔。攻击者铸造了 7.5 亿枚名为 “CarbonVote Token”(CVT)的假资产,并在 Raydium(RAY)上创建了一个仅有 500 美元流动性的资金池,人为将其价格设定在 1 美元附近。
在接下来的数周中,攻击者据称通过自买自卖方式对该代币进行“刷量交易”,以构建看似可信的链上价格历史,使其能够被预言机机制采纳为具有真实抵押价值的资产。
管理员密钥被攻陷与安全阈值被移除
4 月 1 日,攻击者利用被攻陷的 Drift 管理员密钥,将 CVT 上架为现货市场。在同一笔交易中,多条市场的提现保护阈值被调至极高水平,等同于关闭了原本用于防止大额资金外流的限制机制。
延伸阅读: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
随后,攻击者在多个账户中存入约 7.85 亿枚 CVT,按照被操纵的预言机价格计价约为 7.85 亿美元。
保险库在数分钟内被抽空
借助被抬高的抵押品价值,攻击者在大约 12 分钟内执行了 31 笔提现交易,从多个金库中抽走资产。
被盗资金包括 6640 万美元的 USDC、4270 万美元的 JLP、2330 万美元的 MOODENG(MOODENG)以及数量较小的其他代币。
随后,这些资金被集中整理,一部分通过移除永续流动性被销毁,另一部分则被兑换成 SOL,再分散转入多个钱包。
多个签名密钥的使用表明,此次事件可能不仅是单一密钥泄露,而是更广泛的运营基础设施被攻陷或获取到了多组特权凭证,这进一步引发了对内部安全控制的担忧。
下篇阅读: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts