L协议 de prêt DeFi Drift a été piraté en 10 secondes pour plus de 200 millions de dollars, affectant plus de 15 projets.

Auteur : Gu Yu, ChainCatcher

Vers 1 h du matin aujourd’hui, un nouveau vol d’une ampleur considérable a de nouveau frappé le secteur DeFi. Le protocole de prêt de Solana Drift a été attaqué par des pirates informatiques ; en l’espace de dix secondes, plus de 220 millions de dollars d’actifs des utilisateurs ont été volés par les hackers.

Après l’incident, le token Drift a chuté de plus de 40 % en très peu de temps ; son FDV est actuellement d’environ 44 millions de dollars. Étant donné que l’attaque touche de nombreux actifs de l’écosystème Solana, des baisses anormales de différentes ampleurs ont été observées sur des tokens de la sphère Solana tels que SOL, JUP, etc.

Drift faisait auparavant partie des plus grands protocoles de prêt de l’écosystème Solana. Selon RootData, le montant total des financements cumulés de ce protocole dépasse 52 millions de dollars ; parmi les investisseurs figurent des VC de premier plan, notamment Multicoin Capital, Polychain, Robot Ventures, Blockchain Capital, Ethereal Ventures, Jump Capital, etc.

D’après les analyses publiques, ce vol de Drift est étroitement lié à l’acquisition illégale du contrôle d’une adresse multisig ; il est aussi renforcé par l’empilement d’attaques courantes telles que l’attaque de gouvernance et l’attaque d’oracle. L’attaquant utilise une seule clé de signature pour mener l’ensemble des opérations en une seule transaction : création d’un faux marché, manipulation de l’oracle, puis désactivation des restrictions de retrait. Parmi celles-ci, la fuite de la clé privée de l’adresse multisig laisse penser que des initiés auraient pu être impliqués.

Les méthodes d’attaque, déjà trop fréquentes, ainsi que les mesures de prévention insuffisantes de la part des équipes de projet, révèlent à nouveau la fragilité du secteur DeFi. Selon des posts du fondateur de Chaos Labs, Omer Goldberg, et les analyses associées, voici une analyse détaillée du processus de vol :

Le premier signe de l’incident est apparu il y a une semaine. Une semaine auparavant, Drift a transféré les droits de gestion du protocole d’un ancien wallet multisig vers un nouveau wallet multisig. Ce dernier a été créé par l’un des signataires de l’ancien multisig, mais ce signataire n’a pas été ajouté à lui-même dans le nouveau wallet multisig.

L’attaquant a saisi cette faille : il a d’abord lancé une proposition dans l’ancien multisig afin de transférer les droits d’administrateur de Drift vers un nouveau wallet (contrôlé par l’attaquant).

Le nouveau multisig configure 5 signataires : seuls 1 provient de l’ancien, et les 4 autres sont totalement nouveaux. Les règles sont extrêmement souples : il suffit de l’accord de 2/5 (donc seulement deux personnes signent), et il n’y a aucun délai de verrouillage temporel (la proposition est exécutée immédiatement une fois approuvée, sans période d’attente).

Dans la nuit d’aujourd’hui, le seul signataire ancien restant a utilisé le nouveau multisig pour soumettre une proposition : « Modifier les droits d’administrateur de Drift vers le wallet que l’attaquant contrôle réellement ».

Quelques secondes plus tard, un autre signataire nouveau a immédiatement co-signé, atteignant facilement le seuil ⅖.
Comme il n’y a aucun verrouillage temporel, la proposition s’est exécutée instantanément, et l’attaquant a ainsi obtenu l’intégralité des droits d’administrateur.

L’attaquant a ensuite immédiatement utilisé ses privilèges pour créer sur le protocole Drift un marché spot CVT. Le token concerné a une offre totale d’environ 750 millions ; l’attaquant en détient 600 millions. Juste après, l’attaquant utilise son oracle SwitchboardOnDemand qu’il contrôle et configure pour que Drift lise cet oracle.

Une fois l’opération terminée, l’attaquant fait grimper en utilisant 20 transactions le prix des tokens CVT, qui étaient auparavant presque sans valeur, de façon à ce que les 600 millions de CVT qu’il a déposés apparaissent comme valant plusieurs centaines de millions de dollars. Ainsi, l’attaquant a emprunté des actifs d’une valeur d’environ 220 à 280 millions de dollars, comprenant notamment 41,72 millions de JLP (token Jupiter LP, d’une valeur d’environ 155 millions de dollars), 51,61 millions de USDC, 164 cbBTC (d’une valeur d’environ 11,29 millions de dollars), etc.

La structure en blocs façon Lego de DeFi était autrefois considérée comme le plus grand avantage de ce domaine ; aujourd’hui, cet avantage se transforme, tel un jeu de dominos, en moyen de transmettre le risque à l’écosystème Solana, et plus précisément à d’autres protocoles DeFi intégrant le marché de prêt Drifi.

Jupiter est le plus gros des dommages collatéraux de cette affaire de sécurité. Le plus grand nombre de JLP volés correspond aux actifs LP au cœur du marché des contrats perpétuels Jupiter : ce vol entraînera une baisse significative de la liquidité du marché des contrats perpétuels Jupiter, ainsi que des réactions en chaîne telles qu’une sortie de fonds motivée par la panique, et une chute du token JUP.

En outre, plus de 15 protocoles DeFi, dont Perena, Project 0, Exponent, Carrot, Ranger, PiggyBank, Reflect, Elemental, Neutral Trade, Pyra, Fuse, XPlace, ont publié des messages pour confirmer que l’affaire de vol de Drift les a affectés à des degrés divers, et que certaines fonctionnalités de retrait ont déjà été suspendues.

Mais parmi tous les incidents de sécurité, la partie la plus touchée reste les utilisateurs : les attaques répétées et incessantes des hackers continuent de frapper la confiance des utilisateurs envers DeFi.

« Aujourd’hui, ne faites rien d’autre : sortez tous les fonds des vieux projets on-chain ; pour les nouveaux projets, à moins de les connaître très bien, ne les mettez pas non plus. C’est une période compliquée : ne mettez pas l’humanité à l’épreuve. » Après avoir subi une perte de plus de 6000 dollars lors de cet événement, le célèbre KOL 土澳大师兄 a publié ce message.