La plateforme DeFi Drift suspend les dépôts et les retraits après une attaque cryptographique

La société a publié sur X qu’elle enquêtait sur une « activité inhabituelle » sur le protocol, indiquant aux utilisateurs qu’il ne s’agissait pas d’une blague d’April Fool’s.

Des chercheurs en sécurité estiment des pertes pouvant aller jusqu’à 240 millions de dollars, en imputant la principale vulnérabilité à la sécurité de la gouvernance après que l’attaquant a infiltré une mise à niveau de multisig il y a une semaine.

Un chercheur indépendant a observé : « Ce n’est pas une vulnérabilité technique, c’est une catastrophe de gouvernance. Les smart contracts de Drift eux-mêmes étaient impeccables. Le problème était :
• Échec du processus de passation du multisig
• Remettre au pirate un « master key »
• Toutes les opérations ultérieures étaient des “appels légitimes” »

En résumé : « L’essence du piratage de Drift = Unified Liquidity Pool (concentration des risques) × Vulnérabilité de multisig (perte de privilèges) × Privilèges administratifs excessifs (absence de contrôles) »

« Au coût de 240 millions de dollars, cela fait retentir l’alarme pour l’ensemble de l’industrie DeFi. »