DeFi Loan Perjanjian Drift mencuri lebih dari $200 juta dalam 10 detik, lebih dari 15 proyek terpengaruh

Penulis: ChainCatcher

 

Pada sekitar 1 pagi ini, pencurian besar lain terjadi di bidang DeFi, dan Solana Loan Agreement Drift diretas dan lebih dari $220 juta aset pengguna dicuri oleh hacker dalam 10 detik。

Setelah kejadian itu, koin Drift jatuh lebih dari 40 persen dalam waktu singkat, dan FDV saat ini sekitar $44 juta. Sebagai hasil dari banyak aset ekologi yang terlibat di Solana, bidang solana, seperti SOL dan JUP, telah melihat penurunan abnormal berbagai derajat。

Drift, sebelumnya salah satu perjanjian pinjaman eko- terbesar di Solana, menunjukkan bahwa pembiayaan kumulatif dari kesepakatan tersebut lebih dari $52 juta dari investor seperti Multicoin Capital, Polychain, Robot Ventures, Blackchain Capital, Ethereal Ventures, dan Jump Capital VC。

Menurut analisis publik, pencurian Drift ini terkait erat dengan pengungkapan uang multi- alamat, bersama-sama dengan penyalahgunaan metode umum serangan, seperti serangan terhadap pemerintah dan serangan terhadap mesin prognosis, di mana penyerang, menggunakan kunci tunggal tanda tangan, menyelesaikan semua operasi dalam sebuah transaksi tunggal: menciptakan pasar palsu, memanipulasi prognosis dan mengangkat pembatasan penarikan。

Frekuensi serangan, ditambah dengan proyek 's langkah pencegahan lemah, telah sekali lagi mengungkapkan kerapuhan dari daerah DeFi. Menurut kicauan pendiri Lab Chaos Omer Goldberg dan interpretasi relevan, berikut ini adalah analisis rinci dari proses pencurian:

Pertanda awal peristiwa ini terjadi seminggu yang lalu, seminggu yang lalu, Drift memindahkan administrasi persetujuan dari dompet yang lama menandatangani multiple- ke dompet multi-penandatanganan, diciptakan oleh salah satu tanda tangan multiple- tua, yang tidak menambahkan dirinya ke dompet baru multiple- penandatanganan。

Para penyerang menyita celah ini dan pertama memulai proposal dalam beberapa tanda tangan lama untuk mentransfer otoritas administrator Drift ke dompet baru (dikendalikan oleh penyerang)。

Lima simbol baru telah dibuat, hanya satu dari mereka dari yang lama dan empat yang tersisa benar-benar baru. Aturan ini sangat liberal: hanya 2 / 5 orang yang setuju (yaitu hanya dua tanda tangan) dan kunci 0-detik (proposal diimplementasikan segera tanpa menunggu)。

Di pagi hari, satu-satunya tanda tangan lama yang tersisa membuat proposal dengan tanda tangan baru: "Gantikan otoritas administrator Drift dengan dompet di bawah kendali nyata penyerang"

Beberapa detik kemudian, tanda tangan baru lainnya segera menyusul dan dengan mudah mencapai ambang 2 155. Karena tidak ada kunci waktu, proposal itu dieksekusi seketika dan penyerang diperoleh otoritas administrator penuh。

Para penyerang kemudian segera menggunakan otoritas mereka untuk menciptakan pasar spot CVT dalam perjanjian Drift, yang memiliki total pasokan sekitar 750 juta mata uang dan penyerang memegang 600 juta. Kemudian penyerang menggunakan mereka sendiri Sitchboard OnDemand mesin prediktor dan dilengkapi Drift untuk membacanya。

Setelah operasi selesai, para penyerang menaikan harga koin yang hampir tidak berharga CVT dengan 20 transaksi, membuat 600 juta CVT yang mereka depostasikan terlihat seharga ratusan juta dolar. Hasilnya, para penyerang meminjam sekitar $2280 juta aset, termasuk 41.72 juta JLP (Jupiter LP token), senilai sekitar $155 juta), 51,6 juta USDC, 164 CBT (dihargai sekitar $11.29 juta), dll。

Bangunan DeFi-up struktur pernah dianggap keuntungan terbesar di bidang ini, dan hari ini keuntungan ini juga menyampaikan risiko untuk perjanjian DeFi lain yang mengintegrasikan pasar pinjaman Drifi di daerah Solana sebagai domino。

JLP adalah inti aset LP dari JIPIPTER Perps, dan pencurian ini akan secara signifikan mengurangi likuiditas pasar kontrak Jupiter untuk pembaruan, serta efek riak panik dan penurunan token JP。

Selain itu, lebih dari 15 komunikasi DeFi, seperti Perena, Project 0, Exponent, Carrot, Langer, Piggy Bank, Reflect, Project 0, Elemental, Neutral Trade, Pyra, Fuse, Netral Trade, XPlace, dan lainnya, dikonfirmasi bahwa Drift telah terpengaruh oleh pencurian dan beberapa fungsi saat ini telah dihentikan。

Namun, di antara semua insiden keamanan, pengguna terus menjadi yang paling terpengaruh, dan peretasan terus menerus terguncang kepercayaan pengguna dalam DeFi。

"HARI INI TIDAK ADA LAGI YANG DILAKUKAN, DAN SEMUA PROYEK-PROYEK LAMA DALAM RANTAI DIDANAI PENUH, DAN PROYEK-PROYEK BARU TIDAK AKAN DIRILIS KECUALI MEREKA DIKENAL SECARA KHUSUS, DAN TIDAK AKAN MENGUJI MANUSIA." SETELAH KEHILANGAN LEBIH DARI $600.000 DALAM INSIDEN ITU, KOL TUANG SAUDARA TERKENAL MENGIRIM POS。