Drift Protocol : aucune preuve ne montre que la phrase de récupération a été volée, l'attaquant a obtenu l'autorisation via une transaction non autorisée.

Flash info TechFlow, le 02 avril, selon une divulgation officielle de Drift Protocol (@DriftProtocol), le 2 avril, un attaquant malveillant a rapidement pris le contrôle des droits de gestion du comité de sécurité de Drift Protocol grâce à une nouvelle méthode d’attaque impliquant des nonces durables (durable nonces). L’attaque, préparée pendant plusieurs semaines et exécutée par étapes, a été menée via un exécution différée au moyen de transactions pré-signées, et l’attaquant a obtenu l’approbation du portefeuille multisig (2/5) en utilisant l’ingénierie sociale ou des transactions trompeuses, avant de parvenir à un transfert malveillant des privilèges au niveau du protocole.

L’équipe Drift indique que cet incident n’est pas dû à une vulnérabilité du smart contract ou à la fuite d’une phrase de départ. La portée concernée inclut les dépôts de prêt, les dépôts de stocks d’assurance et les fonds de transaction, mais les DSOL non déposés dans Drift (y compris les actifs mis en jeu auprès des validateurs de Drift) ainsi que les actifs du fonds d’assurance ne sont pas affectés.