Hetekig tervezték a támadást, végül 280 millió dollárral léptek meg a hackerek
Cikk meghallgatása
Hackertámadás érte a Solana-alapú kriptotőzsdét, a Drift Protocolt, amelynek során több százmillió dollár értékű eszközt tulajdonítottak el a platformról.
A Drift szerdán közölte, hogy szokatlan aktivitást észleltek a protokollon, és arra kérte a felhasználókat, hogy egyelőre ne indítsanak új befizetéseket.
A bejelentést megelőzően az X felhasználói már jelezték, hogy a platformot támadás érheti, és annak mértéke is jelentős lehet. A Drift ezt követően megerősítette, hogy valóban folyamatban lévő incidensről van szó, ezért ideiglenesen felfüggesztette a befizetéseket és a kifizetéseket. A támadók a becslések szerint végül mintegy 280 millió dollárnyi eszközt szereztek meg.
Több héten át tartó akció
A rendelkezésre álló információk alapján a támadás rendkívül kifinomult volt: hosszabb előkészítési fázist és több lépésben végrehajtott akciót igényelt, amely során úgynevezett durable nonce-okat is felhasználtak előre aláírt, késleltetve végrehajtott tranzakciókhoz.
A vállalat kiemelte, hogy a támadás nem a Drift programkódjában vagy okosszerződéseiben található hiba következménye volt, és arra sincs bizonyíték, hogy seed phrase-ek kompromittálódtak volna. Ugyanakkor elismerték, hogy a támadók még a tényleges végrehajtás előtt jogosulatlan tranzakció-jóváhagyásokat szereztek.
A Drift szerint ezek a jóváhagyások nagy valószínűséggel egy, a munkatársakat célzó social engineering támadás révén történtek – vagyis a támadók nem technikai sérülékenységeket, hanem emberi tényezőket használtak ki –, valamint a durable nonce mechanizmusok manipulálásával.
A durable nonce mechanizmusok olyan blokklánc-eszközök, amelyek lehetővé teszik a blockhash-alapú aláírás megkerülését, és támogatják az offline módon előre aláírt tranzakciók használatát.
A Drift beszámolója szerint március 23-án négy ilyen nonce-fiókot hoztak létre: kettőt a Drift Security Council multisig tagjaihoz kötve, kettőt pedig a támadók által irányított címekhez. Március 27-én a platform végrehajtotta a Security Council tervezett átalakítását egy tagcsere miatt.
Három nappal később egy újabb nonce-fiók jött létre, amely révén a támadók gyakorlatilag hozzáférést szereztek 2 aláíróhoz az 5-ból.
A támadók először egy tesztkifizetést hajtottak végre a biztosítási alapból. Ezt követően, a megszerzett multisig jóváhagyások birtokában, perceken belül végrehajtottak egy rosszindulatú adminisztrátori műveletet, amellyel megszerezték a protokollszintű jogosultságokat.
Ennek birtokában lehetőségük nyílt egy rosszindulatú eszköz bevezetésére, valamint a korábban beállított kifizetési limitek eltávolítására, így hozzáférve a platformon lévő eszközökhöz.
Az eset kritikái
Több felhasználó is kifogásolta, hogy a protokollt „decentralizáltnak” nevezik, miközben a támadás láthatóan központosított mechanizmusok kihasználásával történt. Emellett kritikát váltott ki az is, hogy a rendszerben elegendő volt 5 aláíróból 2 jóváhagyása a tranzakciók végrehajtásához.
A Solana-alapú tőzsde közölte, hogy biztonsági cégekkel, hatóságokkal, hídszolgáltatókkal és tőzsdékkel együttműködve vizsgálja az esetet, és dolgozik az ellopott eszközök befagyasztásán. Hozzátették, hogy a következő napokban részletesebb jelentést is közzétesznek.