Drift Protocol, een op Solana gebaseerde gedecentraliseerde beurs (DEX), bevestigde donderdag dat het het doelwit was van een exploit van ongeveer $280 miljoen, en beschreef het als een “zeer geavanceerde operatie.”
Het platform deelde op X zijn bevindingen van een voorlopig onderzoek, waarin stond dat de aanvallers misbruik maakten van Solana’s duurzame nonces, een mechanisme dat vooraf ondertekende transacties mogelijk maakt, om controle te krijgen en fondsen weg te sluizen. Het protocol had eerder gezegd dat het te maken had met een actieve aanval en had stortingen en opnames opgeschort terwijl het coördineerde met beveiligingsbedrijven, bridges en beurzen.
De aanval begon op woensdag, waarbij de diefstal meerdere activa betrof, waaronder Circle's USDC (USDC) en verschillende altcoins. Onchain-gegevens toonden later aan dat de exploitant het merendeel van de activa omzette in USDC, waarna de fondsen werden overbrugd naar Ethereum.
Het incident heeft veel aandacht getrokken, niet alleen omdat het misbruik lijkt te maken van een legitieme Solana-transactiefunctie in plaats van een simpele smart contract-fout, maar ook vanwege de manier waarop fondsen urenlang over ketens bewogen zonder bevroren te worden, wat vragen oproept over interventie door gecentraliseerde stablecoin-uitgevers.
Solana's duurzame nonces zijn een unieke functie die transacties in staat stelt bepaalde vervaltermijnen te omzeilen en gebruikers in staat stelt transacties vooraf te ondertekenen voor toekomstige uitvoering, offline ondertekening, of complexe multisig-workflows.
Drift zei dat de aanvaller duurzame nonce-gebaseerde, vooraf ondertekende transacties gebruikte om ongeautoriseerde administratieve toegang te verkrijgen en kwaadaardige acties snel na indiening uit te voeren.
Duurzame nonces zijn op zichzelf niet breed geassocieerd met grote exploits, maar ontwikkelaars hebben opgemerkt dat functies die vertraagde uitvoering mogelijk maken, complexiteit en potentiële risico's kunnen introduceren indien ze verkeerd gebruikt worden of gecombineerd worden met andere kwetsbaarheden.
Het incident heeft kritiek uitgelokt op de USDC-uitgever Circle, aangezien de aanvaller uren nodig had om $270 miljoen om te zetten naar de stablecoin voordat deze naar Ethereum werd overbrugd.
Onchain-speurder ZachXBT en anderen zeiden dat het bedrijf minstens zes uur de tijd had om fondsen te bevriezen, maar niet handelde, wat contrasteert met eerdere gevallen waarin wallets op een zwarte lijst werden gezet.
Sommige figuren uit de industrie wezen op de kloof tussen Circle's vermogen om fondsen te bevriezen en enige verplichting om dit te doen.
"Circle zou het kunnen bevriezen. Maar ze zijn niet verplicht," schreef de pseudonieme gebruiker Molu op X, eraan toevoegend dat voorgestelde regelgevende kaders zoals de GENIUS Act die dynamiek zouden kunnen veranderen door interventie te vereisen onder definitieve regels.
Gerelateerd: Balancer Labs sluit 4 maanden na $100M+ exploit, protocol gaat door
Het incident markeert weer een geval in het lopende debat over interventie door gecentraliseerde platforms tijdens aanvallen, waarbij ZachXBT Circle herhaaldelijk bekritiseerde over de kwestie.
De onderzoeker had eerder de reactie van Circle op USDC, gekoppeld aan een Bybit-gerelateerde hack eind februari, in twijfel getrokken, wat leidde tot een reactie van Circle CEO Jeremy Allaire, die zei dat het bedrijf handelt op verzoeken van wetshandhaving voordat fondsen worden bevroren.
Magazine: Niemand weet of kwantumveilige cryptografie überhaupt zal werken
