[Tweet dài] Giao thức cho vay DeFi Drift đã chịu tổn thất hơn 200 triệu đô la trong 10 giây, ảnh hưởng đến hơn 15 dự án.

avatar
Chainfeeds
Bài viết này được dịch máy
Xem bản gốc

Tóm tắt Chainfeeds:

Cấu trúc mô-đun của DeFi từng được coi là lợi thế lớn nhất trong lĩnh vực này, nhưng giờ đây lợi thế đó đã bị khuếch đại thành một bất lợi như hiệu ứng domino.

Nguồn bài viết:

https://x.com/ChainCatcher_/status/2039546677699428765

Tác giả bài viết:

ChainCatcher

Quan điểm ​​:

ChainCatcher : Khoảng 1 giờ sáng nay, một sự cố bảo mật nghiêm trọng khác đã xảy ra trong lĩnh vực DeFi. Giao thức cho vay Drift Solana đã bị hacker, dẫn đến việc đánh cắp hơn 220 triệu đô la tài sản của người dùng chỉ trong vòng mười giây. Sau sự cố, token Drift nhanh chóng giảm mạnh hơn 40%, với giá trị sổ sách (FDV) hiện tại chỉ còn khoảng 44 triệu đô la. Đồng thời, do địa vị quan trọng của Drift trong hệ sinh thái Solana , tài sản liên quan như SOL và JUP cũng trải qua các mức giảm bất thường khác nhau. Là một trong giao thức cho vay hàng đầu trong hệ sinh thái Solana , Drift trước đây đã huy động được hơn 52 triệu đô la vốn đầu tư, với các nhà đầu tư bao gồm các tổ chức hàng đầu như Multicoin Capital, Polychain và Jump Capital. Cuộc tấn công lần không phải là điểm yếu duy nhất mà là kết quả của nhiều phương pháp tấn công kết hợp, bao gồm việc chiếm đoạt bất hợp pháp quyền kiểm soát đa chữ ký, tấn công quản trị và thao túng oracle . Bằng cách kiểm soát một khóa chữ ký duy nhất, những kẻ tấn công đã hoàn thành sê-ri các hoạt động quan trọng trong một giao dịch duy nhất, bao gồm tạo ra một thị trường giả mạo, thao túng oracle giá và loại bỏ các hạn chế rút tiền. Điều đáng chú ý nhất là việc rò rỉ private key đa chữ ký thậm chí có thể liên quan đến nhân viên nội bộ, làm phức tạp thêm và leo thang mức độ nghiêm trọng của sự cố. Xét theo lộ trình tấn công cụ thể, vấn đề đã âm ỉ từ một tuần trước đó. Vào thời điểm đó, Drift đã chuyển quyền quản lý giao thức từ ví đa chữ ký cũ sang ví đa chữ ký mới. Ví mới được tạo bởi một trong những người ký từ ví đa chữ ký cũ, nhưng người ký mới này không tự thêm mình vào danh sách người ký mới. Lỗ hổng thiết kế này đã tạo cơ hội cho kẻ tấn công. Kẻ tấn công đầu tiên khởi tạo Đề án trong ví đa chữ ký cũ, chuyển quyền quản trị giao thức sang ví mà chúng kiểm soát. Sau đó, cấu trúc của ví đa chữ ký mới càng làm tăng thêm rủi ro: chỉ có một trong năm người ký đến từ hệ thống cũ, phần còn lại là các địa chỉ mới, và chỉ cần 2/5 chữ ký để thực hiện Đề án, không có cơ chế khóa thời gian. Vào sáng sớm, người ký cũ duy nhất đã khởi tạo Đề án, chuyển quyền quản trị sang địa chỉ của kẻ tấn công. Một người ký mới khác nhanh chóng làm theo, ngay lập tức đáp ứng các điều kiện thực thi. Do không có độ trễ thời gian, Đề án có hiệu lực ngay lập tức và kẻ tấn công đã giành được quyền kiểm soát hoàn toàn. Toàn bộ quá trình diễn ra cực kỳ nhanh chóng, hầu như không cho phép can thiệp hoặc phản ứng, làm lộ rõ ​​những lỗ hổng nghiêm trọng trong thiết kế đa chữ ký và quản lý quyền. Sau khi giành được quyền quản trị, những kẻ tấn công nhanh chóng tiến hành một hoạt động chênh lệch giá: Đầu tiên, chúng tạo ra Thị trường Spot cho CVT trên Drift, với tổng nguồn cung khoảng 750 triệu token, trong đó 600 triệu token do những kẻ tấn công kiểm soát. Sau đó, những kẻ tấn công triển khai và chỉ định nguồn dữ liệu oracle của riêng chúng, khiến giao thức đọc giá mà chúng đã thao túng. Thông qua khoảng 20 giao dịch, những kẻ tấn công đã thổi phồng giá CVT một cách giả tạo, khiến cho vị thế giữ có vẻ trị giá hàng trăm triệu đô la từ góc nhìn của oracle. Sử dụng tài sản thế chấp được thổi phồng giả tạo này, những kẻ tấn công đã vay khoảng 220 triệu đến 280 triệu đô tài sản từ giao thức, bao gồm tài sản cốt lõi như JLP, USDC và cbBTC. Sự kiện này không chỉ ảnh hưởng trực tiếp đến Drift mà còn nhanh chóng lan rộng khắp hệ sinh thái Solana thông qua "cấu trúc mô-đun" của DeFi. Là một trong những nạn nhân lớn nhất, tài sản cốt lõi của nhà cung cấp nhà cung cấp thanh khoản) Jupiter , JLP, đã bị rút lượng lớn, gây ra sự sụt giảm mạnh thanh khoản và kích hoạt sự hoảng loạn trên thị trường. Hơn nữa, hơn 15 giao thức tích hợp Drift đã bị ảnh hưởng ở các mức độ khác nhau, với một số tạm ngừng chức năng rút tiền. Cuối cùng, người dùng thông thường chịu tổn thất lớn nhất, vì các sự cố bảo mật thường xuyên tiếp tục làm xói mòn niềm tin của thị trường vào DeFi.

Nguồn nội dung

https://chainfeeds.substack.com

Khu vực:
Jump Crypto
Quản Trị
Stablecoin
Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan