HackerNews 编译,转载请注明出处:
Drift协议在一场精心策划的复杂攻击中损失至少2.8亿美元,威胁行为体夺取了其安全委员会管理权限。
平台解释称,攻击者利用持久随机数账户和预签名交易延迟执行,在选定时间精准发动攻击。
Drift强调,黑客并未利用其程序或智能合约的任何漏洞,且未泄露任何助记词。
Drift协议是基于Solana区块链构建的DeFi交易平台,作为非托管交易所,用户在与链上市场交互时完全掌控自己的资金。
截至2024年底,该平台声称拥有20万交易者,支持总交易量超550亿美元,日峰值达1300万美元。
据Drift报告,盗窃案于3月23日至30日间准备,攻击者设置持久随机数账户,并从安全委员会成员处获得2/5多签批准以满足所需阈值。
这使其能够预签名恶意交易,但不立即执行。
4月1日,攻击者执行一笔合法交易,随即执行预签名的恶意交易,在数分钟内将管理控制权转移至自身。
获得管理控制权后,他们引入恶意资产,移除提款限制,最终耗尽资金。
Drift协议估计损失约2.8亿美元,而区块链追踪账户PeckShieldAlert计算损失为2.85亿美元。
检测到协议异常活动后,Drift向用户发出公开警告,称已启动调查,并敦促用户在进一步通知前不要存入任何资金。
攻击导致借贷存款、金库存款和交易资金受影响,所有协议功能现已基本冻结。Drift表示DSOL未受影响,保险基金资产安全。
平台现正与安全公司、加密货币交易所及执法部门合作,追踪并冻结被盗资金。
Drift承诺将在未来几天发布详细的事后分析报告。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文