当数百万美元的加密货币从去中心化金融协议中被盗走时,往往会引发一系列棘手的问题——周三Drift Protocol 被盗 2.85 亿美元的事件也不例外。
基于Solana 的专案已成为焦点,研究人员和专家们正在仔细研究其设计,并提出疑问:某些设计特性或程式是否可以阻止有人实施近期最有利可图的 DeFi 攻击之一。
Drift在X 上发布公告称,一名恶意行为者透过一种「新型攻击」未经授权访问了其平台,并获得了对 Drift 所谓安全委员会的管理权限。他们还补充说,这次攻击可能涉及一定程度的「复杂的社会工程」。
这起窃盗案是DeFi领域近期规模最大的案件之一,其关键在于在去中心化交易所Drift上引入了一种虚假数位资产,并修改了平台的提现限额。攻击者透过抬高恶意代币的价值,利用其借贷机制,迅速从Drift中抽取了真实的流动性。
区块链情报公司Elliptic周四发布的一份报告称,有迹象显示这起攻击与朝鲜民主主义人民共和国有关。报告指出,攻击者的链上行为、洗钱手段以及网路层面的指标都指向了这一点。
由于用户存款受到影响,作为预防措施,协议已被冻结,旁观者也开始关注 Drift 设计的核心要素:多重签名钱包,其中由两个私钥生成的签名使攻击者能够获得广泛的权力。
SVRN 营运长兼区块链安全专家 David Schwed 表示,多重签名钱包代表了许多 DeFi 专案的中心化点,而这起事件暴露了一个令人不安的现实:智慧合约审计只能防止如此多的损失。
他告诉Decrypt ,Drift 已成为最新一个例子,说明那些试图用程式码取代金融中介的服务通常依赖小型团队和中心化点(如多重签名钱包),而这些都存在网路安全风险。
他说:“如今的工程师们都专注于安全的技术层面,却忽略了流程中涉及的人员因素。所以,虽然协议本身是去中心化的,但它的管理却是集中在五个人手中的。”
Schwed 将 Drift 的安全漏洞与 2022 年最臭名昭著的 DeFi 骇客攻击事件之一相提并论。在那次攻击中,与北韩有关联的骇客窃取了价值超过 6.25 亿美元的数位资产。他们的目标是Ronin,一个为热门 NFT 游戏 Axie Infinity 开发的以太坊侧链。据区块链安全公司Chainalysis 称,Axie Infinity攻击依赖于获取五个私钥。
尽管区块链分析师认为这次攻击带有国家行为体的痕迹,但也有人认为攻击的精准性显示攻击者对协议有著更深入的了解。施韦德怀疑与北韩有关联的骇客参与了针对 Drift 的攻击,因为感觉攻击者(很可能是内部人员)「知道该攻击谁」。
旁观者猜测,「时间锁」或许能阻止漏洞如此迅速地被利用。智能合约的这项功能会限制交易的执行或资金的访问,直到达到特定的未来时间点,这可能为 Drift 团队提供了介入的机会。
Oak Security 的管理合伙人 Stefan Byer 告诉Decrypt : “时间锁有助于争取时间应对此类攻击,在这里也起到了作用——但这并非根本原因。最大的问题是——特权密钥再次泄露了。”
不过, Neo Blockchain 的创办人兼董事长丹洪飞认为,像 Drift 这样存放著数百万美元资金的协议不应该可以立即被清空。
他在 X 上的一篇文章中表示,必须强制执行与列出高风险资产等关键操作相关的时间锁定,以「防止攻击者在几秒钟内完成整个攻击链」。
加密安全基础设施供应商 Venn Network 的创办人 Or Dadosh 也表达了类似的观点。他也指出,自动熔断机制可以让专案在资金流出速度或交易量超出异常阈值时立即暂停运作。
多位安全专家认为,Drift不会是最后一个遭受类似周三事件攻击的DeFi专案。他们指出,不法分子正越来越多地转向人工智慧,利用演算法来全面了解他们的下一个目标。
「我们已经到了这样的地步:不法分子可以冒充你母亲的声音打电话,」达多什告诉Decrypt 。 “我们生活在一个全新的时代,金融攻击可以出现在我们一年前根本无法想像的地方和形式。”
