Kinumpirma ng Drift Protocol, isang Solana-based na decentralized exchange (DEX), noong Huwebes na ito ay pinuntirya sa isang humigit-kumulang $280 milyong exploit, na inilalarawan ito bilang isang “lubos na sopistikadong operasyon.”
Nagbahagi ang platform sa X ng mga natuklasan nito mula sa isang paunang imbestigasyon, na nagsasabing pinagsamantalahan ng mga umaatake ang durable nonces ng Solana, isang mekanismo na nagpapahintulot sa pre-signed na transaksyon, upang agawin ang kontrol at maubos ang pondo. Nauna nang sinabi ng protocol na nakakaranas ito ng aktibong pag-atake at sinuspinde ang mga deposit at withdrawal habang nakikipag-ugnayan sa mga security firm, bridge at exchange.
Nagsimula ang pag-atake noong Miyerkules, na kinasangkutan ng pagnanakaw ng maraming asset, kabilang ang USDC (USDC) ng Circle at iba't ibang altcoin. Ipinakita kalaunan ng onchain data na ipinagpalit ng exploiter ang karamihan ng mga asset sa USDC, at kalaunan ay inilipat ang mga pondo sa Ethereum.
Nakakuha ng atensyon ang insidente hindi lamang dahil mukhang kinasasangkutan ito ng pag-abuso sa isang lehitimong tampok ng transaksyon ng Solana sa halip na isang simpleng pagkabigo ng smart contract, kundi pati na rin sa kung paano gumalaw ang mga pondo sa iba't ibang chain sa loob ng ilang oras nang hindi nagyeyelo, na naglalabas ng mga tanong tungkol sa interbensyon ng mga sentralisadong stablecoin issuer.
Ang durable nonces ng Solana ay isang natatanging tampok na nagpapahintulot sa mga transaksyon na lampasan ang ilang expiration window at nagbibigay-daan sa mga user na pre-sign ng mga transaksyon para sa hinaharap na pagpapatupad, offline signing, o kumplikadong multisig workflow.
Sinabi ng Drift na ginamit ng umaatake ang durable nonce-based, pre-signed na transaksyon upang makakuha ng hindi awtorisadong administratibong access at mabilis na isagawa ang malisyosong aksyon pagkatapos isumite.
Ang durable nonces ay hindi malawakang nauugnay sa mga pangunahing exploit nang mag-isa, ngunit nabanggit ng mga developer na ang mga tampok na nagpapahintulot sa naantalang pagpapatupad ay maaaring magdulot ng pagiging kumplikado at potensyal na panganib kung maling ginamit o isinama sa iba pang mga kahinaan.
Nagdulot ng batikos ang insidente sa USDC issuer na Circle, dahil inabot ng ilang oras ang umaatake upang ipagpalit ang $270 milyon sa stablecoin bago ilipat sa Ethereum.
Sinabi ng onchain sleuth na si ZachXBT at iba pa na mayroon ang kumpanya ng hindi bababa sa anim na oras upang i-freeze ang pondo ngunit hindi ito kumilos, na kaibahan sa tugon sa mga nakaraang kaso kung saan na-blacklist ang mga wallet.
Ilang figure sa industriya ang tumukoy sa puwang sa pagitan ng kakayahan ng Circle na i-freeze ang pondo at anumang obligasyon na gawin ito.
“Kaya itong i-freeze ng Circle. Ngunit hindi sila kinakailangan,” isinulat ng pseudonymous na user na si Molu sa X, idinagdag na ang mga iminungkahing regulatory framework tulad ng GENIUS Act ay maaaring magbago ng dinamikong iyon sa pamamagitan ng paghingi ng interbensyon sa ilalim ng mga pinal na alituntunin.
Kaugnay: Balancer Labs, nagsara 4 na buwan pagkatapos ng $100M+ exploit, magpapatuloy ang protocol
Ang insidente ay nagmamarka ng isa pang kaso sa patuloy na debate tungkol sa interbensyon ng mga sentralisadong platform sa panahon ng mga pag-atake, na paulit-ulit na pinupuna ni ZachXBT ang Circle tungkol sa isyu.
Nauna nang kinuwestiyon ng imbestigador ang tugon ng Circle sa USDC na nauugnay sa isang Bybit-related na hack noong huling bahagi ng Pebrero, na nag-udyok ng tugon mula sa Circle CEO na si Jeremy Allaire, na nagsabing kumikilos ang kumpanya batay sa mga kahilingan ng pagpapatupad ng batas bago i-freeze ang pondo.
Magazine: Walang nakakaalam kung gagana ba ang quantum secure cryptography
