當數百萬美元的加密貨幣從去中心化金融協議中被盜走時,往往會引發一系列棘手的問題——週三Drift Protocol 被盜 2.85 億美元的事件也不例外。
基於Solana 的專案已成為焦點,研究人員和專家們正在仔細研究其設計,並提出疑問:某些設計特性或程式是否可以阻止有人實施近期最有利可圖的 DeFi 攻擊之一。
Drift在X 上發佈公告稱,一名惡意行為者透過一種「新型攻擊」未經授權訪問了其平台,並獲得了對 Drift 所謂安全委員會的管理權限。他們還補充說,這次攻擊可能涉及一定程度的「複雜的社會工程」。
這起竊盜案是DeFi領域近期規模最大的案件之一,其關鍵在於在去中心化交易所Drift上引入了一種虛假數位資產,並修改了平台的提現限額。攻擊者透過抬高惡意代幣的價值,利用其借貸機制,迅速從Drift中抽取了真實的流動性。
區塊鏈情報公司Elliptic週四發布的一份報告稱,有跡象顯示這起攻擊與朝鮮民主主義人民共和國有關。報告指出,攻擊者的鏈上行為、洗錢手段以及網路層面的指標都指向了這一點。
由於用戶存款受到影響,作為預防措施,協議已被凍結,旁觀者也開始關注 Drift 設計的核心要素:多重簽名錢包,其中由兩個私鑰生成的簽名使攻擊者能夠獲得廣泛的權力。
SVRN 營運長兼區塊鏈安全專家 David Schwed 表示,多重簽名錢包代表了許多 DeFi 專案的中心化點,而這起事件暴露了一個令人不安的現實:智慧合約審計只能防止如此多的損失。
他告訴Decrypt ,Drift 已成為最新一個例子,說明那些試圖用程式碼取代金融中介的服務通常依賴小型團隊和中心化點(如多重簽名錢包),而這些都存在網路安全風險。
他說:“如今的工程師們都專注於安全的技術層面,卻忽略了流程中涉及的人員因素。所以,雖然協議本身是去中心化的,但它的管理卻是集中在五個人手中的。”
Schwed 將 Drift 的安全漏洞與 2022 年最臭名昭著的 DeFi 駭客攻擊事件之一相提並論。在那次攻擊中,與北韓有關聯的駭客竊取了價值超過 6.25 億美元的數位資產。他們的目標是Ronin,一個為熱門 NFT 遊戲 Axie Infinity 開發的以太坊側鏈。據區塊鏈安全公司Chainalysis 稱,Axie Infinity攻擊依賴於獲取五個私鑰。
儘管區塊鏈分析師認為這次攻擊帶有國家行為體的痕跡,但也有人認為攻擊的精準性顯示攻擊者對協議有著更深入的了解。施韋德懷疑與北韓有關聯的駭客參與了針對 Drift 的攻擊,因為感覺攻擊者(很可能是內部人員)「知道該攻擊誰」。
旁觀者猜測,「時間鎖」或許能阻止漏洞如此迅速地被利用。智能合約的這項功能會限制交易的執行或資金的訪問,直到達到特定的未來時間點,這可能為 Drift 團隊提供了介入的機會。
Oak Security 的管理合夥人 Stefan Byer 告訴Decrypt : “時間鎖有助於爭取時間應對此類攻擊,在這裡也起到了作用——但這並非根本原因。最大的問題是——特權密鑰再次洩露了。”
不過, Neo Blockchain 的創辦人兼董事長丹洪飛認為,像 Drift 這樣存放著數百萬美元資金的協議不應該可以立即被清空。
他在 X 上的一篇文章中表示,必須強制執行與列出高風險資產等關鍵操作相關的時間鎖定,以「防止攻擊者在幾秒鐘內完成整個攻擊鏈」。
加密安全基礎設施供應商 Venn Network 的創辦人 Or Dadosh 也表達了類似的觀點。他也指出,自動熔斷機制可以讓專案在資金流出速度或交易量超出異常閾值時立即暫停運作。
多位安全專家認為,Drift不會是最後一個遭受類似週三事件攻擊的DeFi專案。他們指出,不法分子正越來越多地轉向人工智慧,利用演算法來全面了解他們的下一個目標。
「我們已經到了這樣的地步:不法分子可以冒充你母親的聲音打電話,」達多什告訴Decrypt 。 “我們生活在一個全新的時代,金融攻擊可以出現在我們一年前根本無法想像的地方和形式。”
