當數百萬美元的加密貨幣從一個去中心化金融協議中被盜走時,通常會引發嚴峻的質疑——而 Drift Protocol 週三發生的2.85 億美元漏洞攻擊事件也不例外。
這個基於Solana的項目被推上了風口浪尖,研究人員和專家仔細審查其設計,質疑某些設計功能或程序是否能阻止有人發動近期獲利最豐厚的 DeFi 攻擊之一。
Drift 在 X 上發布的貼文中表示,惡意行為者通過一種「新型攻擊」未經授權地進入其平台,該攻擊賦予了其對 Drift 所謂的安全委員會的管理權限。他們補充說,這次攻擊可能涉及某種程度的「精密社會工程」。
這場盜竊案是 DeFi 近期最大規模的盜竊案之一,其關鍵在於在去中心化交易所上引入虛假數位資產,並修改平台的提款限制。在惡意代幣的價值被誇大後,攻擊者利用借貸機制,迅速從 Drift 中抽走真實流動性。
區塊鏈情報公司 Elliptic 週四在一份報告中表示,有跡象表明此次攻擊與朝鮮民主主義人民共和國有關。他們指出攻擊者的鏈上行為、洗錢方法和網路層級指標。
隨著用戶存款受到影響——以及該協議作為預防措施被凍結——旁觀者也將焦點放在 Drift 設計的核心要素:一個多重簽名錢包,攻擊者透過兩個私鑰產生的簽名獲得了全面的權力。
SVRN 營運長兼區塊鏈安全專家 David Schwed 表示,多重簽名錢包代表了許多 DeFi 項目中心化的一個點,這次事件揭露了一個令人不安的現實,即智能合約審計只能預防這麼多的損害。
他告訴Decrypt,Drift 已成為最新的例子,說明那些旨在用程式碼取代金融中介的服務,如何頻繁依賴小型團隊和多重簽名錢包等中心化點,從而帶來網路安全風險。
他說:「現今所有工程師都專注於安全的技術面,他們不專注於流程中的人。」「所以是的,這個協議是去中心化的,但它的治理卻集中在五個人身上。」
Schwed 將 Drift 的安全漏洞與 2022 年北韓駭客竊取價值超過 6.25 億美元數位資產的駭客事件相提並論。這些駭客鎖定了為熱門 NFT 遊戲 Axie Infinity 開發的以太坊側鏈 Ronin。根據區塊鏈安全公司Chainalysis的說法,這次攻擊依賴於獲取五個私鑰。
雖然區塊鏈分析師看到了一個民族國家的痕跡,但其他人則認為攻擊的精確性表明對協議有更深入的了解。Schwed 懷疑與北韓有關的駭客是否參與了針對 Drift 的攻擊,因為他感覺攻擊者,可能是一名內部人員,「知道要鎖定誰」。
旁觀者推測,「時間鎖」本可以阻止攻擊如此迅速地發生。這種智能合約功能會限制交易的執行或對資金的訪問,直到達到特定的未來時間,這可能為 Drift 團隊提供一個介入的窗口。
Oak Security 的管理合夥人 Stefan Byer 告訴Decrypt:「時間鎖有助於爭取時間來應對此類攻擊,並且在這裡本來會有幫助——但這不是根本原因。」「最大的問題是——又一次——特權金鑰被洩露了。」
儘管如此,Neo 區塊鏈的創辦人兼主席 Dan Hongfei 仍認為,像 Drift 這樣儲存數百萬美元資金的協議不應該能夠被瞬間耗盡。
他在 X 上的一篇貼文中表示,必須強制執行與列出高風險資產等關鍵操作相關的時間鎖,以「防止攻擊者在幾秒鐘內完成整個攻擊鏈」。
加密安全基礎設施供應商 Venn Network 的創辦人 Or Dadosh 也呼應了這一觀點。他還提到了自動斷路器,這種機制允許項目在異常流出速度或交易量閾值被突破時立即暫停營運。
幾位安全專家預測,Drift 將不會是最後一個遭受類似週三發生的漏洞攻擊的 DeFi 項目。他們指出,惡意行為者正日益轉向人工智慧,利用演算法全面了解他們的下一個目標。
Dadosh 告訴Decrypt:「我們已經達到一個程度,惡意行為者可以在電話中冒充你母親的聲音。」「我們生活在一個新時代,金融攻擊可能以我們一年前甚至無法想像的方式和形式出現。」
