Gdy miliony dolarów w kryptowalutach zostają ukradzione z protokołu zdecentralizowanych finansów (DeFi), często pojawiają się trudne pytania — i atak na Drift Protocol o wartości 285 milionów dolarów w środę nie jest wyjątkiem.
Projekt oparty na Solanie znalazł się w centrum uwagi, gdy badacze i eksperci analizują jego projekt, zadając pytania, czy pewne cechy konstrukcyjne lub procedury mogłyby zapobiec przeprowadzeniu jednego z najbardziej lukratywnych ataków DeFi w ostatnim czasie.
W poście na X, Drift poinformował, że złośliwy podmiot uzyskał nieautoryzowany dostęp do jego platformy poprzez „nowatorski atak”, który przyznał uprawnienia administracyjne nad tak zwaną radą bezpieczeństwa Drift. Dodali, że atak prawdopodobnie obejmował pewien stopień „wyrafinowanej inżynierii społecznej”.
Kradzież, będąca jedną z największych w historii DeFi, opierała się na wprowadzeniu fałszywego aktywa cyfrowego na zdecentralizowaną giełdę i modyfikacji limitów wypłat platformy. Po zawyżeniu wartości złośliwego tokena, atakujący zyskał zdolność do szybkiego wyprowadzenia prawdziwej płynności z Drift poprzez nadużycie mechanizmów pożyczkowych.
Istnieją wskazania, że exploit jest powiązany z Koreańską Republiką Ludowo-Demokratyczną, jak stwierdziła firma wywiadu blockchain Elliptic w raporcie z czwartku. Wskazali na zachowanie atakującego w łańcuchu, metodologie prania pieniędzy i wskaźniki na poziomie sieci.
W związku z naruszonymi depozytami użytkowników – i protokołem zamrożonym w ramach środków ostrożności – obserwatorzy skupiają się również na kluczowym elemencie projektu Drift: portfelu wielopodpisowym, gdzie sygnatury generowane przez dwa klucze prywatne umożliwiły atakującemu uzyskanie szerokich uprawnień.
Portfele wielopodpisowe stanowią punkt centralizacji dla wielu projektów DeFi, a incydent ujawnia niewygodną rzeczywistość, że audyty smart kontraktów mogą zapobiec jedynie części szkód, według Davida Schweda, dyrektora operacyjnego SVRN i eksperta ds. bezpieczeństwa blockchain.
Powiedział on Decrypt, że Drift stał się najnowszym przykładem tego, jak usługi, które mają zastąpić pośredników finansowych kodem, często polegają na małych zespołach i punktach centralizacji, takich jak portfele wielopodpisowe, które stwarzają ryzyko cyberbezpieczeństwa.
„Wszyscy inżynierowie skupiają się dziś na technicznej stronie bezpieczeństwa, nie skupiają się na ludziach w procesie” – powiedział. „Więc tak, protokół jest zdecentralizowany, ale jego zarządzanie jest scentralizowane na pięciu osobach”.
Schwed porównał lukę w bezpieczeństwie Drift do jednego z najbardziej znanych ataków DeFi, w którym w 2022 roku skradziono aktywa cyfrowe o wartości ponad 625 milionów dolarów przez hakerów powiązanych z Koreą Północną. Zaatakowali oni Ronin, sidechain Ethereum stworzony dla popularnej gry NFT Axie Infinity. Atak polegał na uzyskaniu dostępu do pięciu kluczy prywatnych, według firmy zajmującej się bezpieczeństwem blockchain Chainalysis.
Podczas gdy analitycy blockchain widzą odciski palców państwa narodowego, inni twierdzą, że precyzja ataku sugeruje bardziej dogłębną znajomość protokołu. Schwed wątpił, czy hakerzy powiązani z Koreą Północną byli zaangażowani w atak na Drift, ponieważ wydaje się, że atakujący, być może osoba z wewnątrz, „wiedział, w kogo celować”.
Obserwatorzy spekulowali, że „blokada czasowa” mogła zapobiec tak szybkiemu wystąpieniu exploita. Ta funkcja smart kontraktu ogranicza wykonanie transakcji lub dostęp do środków do osiągnięcia określonego czasu w przyszłości, potencjalnie dając zespołowi Drift okno czasowe do interwencji.
„Blokady czasowe są pomocne w uzyskaniu czasu na reakcję na taki atak i pomogłyby w tym przypadku – ale to nie jest główna przyczyna” – powiedział Stefan Byer, partner zarządzający w Oak Security, Decrypt. „Największym problemem było to, że – po raz kolejny – uprzywilejowany klucz został skompromitowany”.
Mimo to Dan Hongfei, założyciel i przewodniczący Neo Blockchain, argumentował, że protokoły takie jak Drift, które przechowują miliony dolarów środków, nie powinny być natychmiast opróżnialne.
W poście na X powiedział, że blokady czasowe powiązane z krytycznymi działaniami, takimi jak wystawianie aktywów wysokiego ryzyka, muszą być egzekwowane, aby „zapobiec ukończeniu całego łańcucha exploita przez atakującego w ciągu kilku sekund”.
Tę opinię podzielił Or Dadosh, założyciel dostawcy infrastruktury bezpieczeństwa krypto Venn Network. Wskazał również na automatyczne wyłączniki awaryjne, które umożliwiają projektom natychmiastowe wstrzymanie operacji w przypadku przekroczenia progów nienormalnej szybkości lub wolumenu wypływów.
Kilku ekspertów ds. bezpieczeństwa zakładało, że Drift nie będzie ostatnim projektem DeFi, który padnie ofiarą exploita takiego jak ten, który miał miejsce w środę. Zauważyli, że źli aktorzy coraz częściej zwracają się ku sztucznej inteligencji (AI), wykorzystując algorytmy do uzyskania kompleksowego zrozumienia swojego kolejnego celu.
„Osiągnęliśmy poziom, na którym zły aktor może podrobić głos twojej matki podczas rozmowy telefonicznej” – powiedział Dadosh Decrypt. „Żyjemy w nowej erze, gdzie ataki finansowe mogą pojawić się w miejscach i formatach, których rok temu nawet byśmy sobie nie wyobrażali”.
