Protokol pinjaman DeFi Drift dicuri lebih dari 200 juta dolar dalam 10 detik, lebih dari 15 proyek terdampak

Author: Gu Yu, ChainCatcher

Sekitar pukul 1 dini hari tadi, dunia DeFi kembali mengalami insiden pencurian berskala besar; protokol pinjam-meminjam Solana Drift diserang peretas, dan lebih dari 220 juta dolar aset pengguna dicuri oleh peretas dalam waktu sepuluh detik.

Setelah insiden tersebut, token Drift turun lebih dari 40% dalam waktu singkat; saat ini FDV sekitar 44 juta dolar. Karena melibatkan banyak aset dalam ekosistem Solana, token di bidang Solana seperti SOL, JUP, dan lainnya juga mengalami penurunan abnormal dengan tingkat yang berbeda-beda.

Sebelumnya, Drift adalah salah satu protokol pinjam-meminjam terbesar dalam ekosistem Solana. Menurut RootData, nilai pendanaan kumulatif protokol ini melebihi 52 juta dolar; investor yang terlibat termasuk Multicoin Capital, Polychain, Robot Ventures, Blockchain Capital, Ethereal Ventures, Jump Capital, dan VC papan atas lainnya.

Berdasarkan analisis yang dipublikasikan, pencurian Drift kali ini sangat berkaitan erat dengan kebocoran alamat-multi yang memegang dana; sekaligus ditambah dengan metode serangan umum seperti serangan tata kelola dan serangan oracle. Penyerang menggunakan kunci privat penandatanganan tunggal untuk menyelesaikan semua operasi dalam satu transaksi: membuat pasar palsu, memanipulasi oracle, dan mencabut batasan penarikan.

Metode serangan yang kerap terjadi, serta langkah pencegahan yang lemah dari pihak proyek, kembali menunjukkan kerapuhan dunia DeFi. Menurut cuitan pendiri Chaos Labs, Omer Goldberg, dan ulasan terkait, berikut analisis rinci tentang proses pencurian:

Tanda-tanda awal insiden ini muncul seminggu lalu. Satu minggu lalu, Drift memindahkan kewenangan manajemen protokol dari dompet multi-sig lama ke dompet multi-sig baru. Dompet baru ini dibuat oleh salah satu penandatangan di multi-sig lama, namun penandatangan tersebut tidak menambahkan dirinya ke dompet multi-sig baru.

Penyerang memanfaatkan celah ini. Pertama, di dalam multi-sig lama, penyerang mengajukan proposal untuk memindahkan kewenangan administrator Drift ke sebuah dompet baru (dikendalikan oleh penyerang).

Multi-sig baru menetapkan 5 orang penandatangan, dengan hanya 1 orang berasal dari multi-sig lama; sisanya 4 orang semuanya sepenuhnya baru. Aturannya sangat longgar: cukup 2 dari 5 orang yang setuju (artinya hanya 2 orang yang perlu menandatangani), dan ada 0 detik time-lock (proposal dieksekusi segera setelah disetujui, tanpa masa tunggu apa pun).

Dini hari ini, penandatangan lama yang satu-satunya yang tersisa mengajukan proposal dengan multi-sig baru: “Ubah kewenangan administrator Drift menjadi dompet yang benar-benar dikendalikan oleh penyerang”.

Beberapa detik kemudian, penandatangan baru lainnya langsung ikut menandatangani, dengan mudah mencapai ambang ⅖.
Karena tidak ada time-lock, proposal dieksekusi seketika, sehingga penyerang memperoleh seluruh kewenangan administrator.

Setelah itu, penyerang langsung menggunakan kewenangan tersebut untuk membuat pasar CVT spot di protokol Drift. Total suplai token ini sekitar 750 juta; penyerang memegang 600 juta. Langsung setelahnya, penyerang menggunakan oracle SwitchboardOnDemand yang dikendalikannya sendiri, lalu mengonfigurasi agar Drift membaca oracle tersebut.

Setelah operasi selesai, penyerang menaikkan harga token CVT yang semula hampir tidak bernilai melalui 20 transaksi, sehingga CVT 600 juta yang disetor penyerang terlihat bernilai ratusan juta dolar. Dengan cara ini, penyerang meminjam aset senilai sekitar 2,2 -2,8 miliar dolar, yang mencakup 41,72 juta JLP (Jupiter LP token, senilai sekitar 155 juta dolar), 51,61 juta USDC, 164 cbBTC (senilai sekitar 11,29 juta dolar), dan lainnya.

Struktur modular ala balok DeFi sebelumnya dianggap sebagai keunggulan terbesar di bidang ini; namun kini keunggulan tersebut juga meneruskan risiko ke ekosistem Solana, seperti domino, ke protokol DeFi lain yang mengintegrasikan pasar pinjam-meminjam Drifi.

Jupiter adalah korban paling besar yang terdampak insiden keamanan ini. JLP yang dicuri dalam jumlah terbesar adalah aset LP inti dari pasar kontrak berjangka (perpetual) Jupiter; pencurian kali ini akan menyebabkan likuiditas pasar kontrak berjangka Jupiter turun secara signifikan, serta memicu reaksi berantai seperti kepanikan dana yang ditarik keluar dan penurunan token JUP.

Selain itu, lebih dari 15 protokol DeFi seperti Perena, Project 0, Exponent, Carrot, Ranger, PiggyBank, Reflect, Project 0, Elemental, Neutral Trade, Pyra, Fuse, Neutral Trade, XPlace, dan lainnya memposting konfirmasi bahwa mereka terdampak oleh pencurian Drift; sebagian fungsi penarikan sudah ditangguhkan.

Namun, di antara semua insiden keamanan, yang paling terdampak tetaplah pengguna. Rangkaian serangan peretasan yang terus-menerus kembali menghantam keyakinan pengguna terhadap DeFi.

“Hari ini jangan urus hal lain. Semua dana dari proyek lama di semua chain harus dikeluarkan; untuk proyek baru, kalau tidak benar-benar memahami, jangan. Ini masa yang penuh perkara; jangan menguji kemanusiaan.” Setelah mengalami kerugian lebih dari 6000 dolar dalam peristiwa ini, KOL ternama, Tan Australia Da Shixiong, menulis demikian dalam sebuah postingan.