Drift Protocol: Tidak ada bukti yang menunjukkan kata sandi dicuri, serangan sangat kompleks, dan dipersiapkan selama beberapa minggu

Berita dari Mars Finance, pada 2 April, Drift Protocol mengunggah pernyataan di X yang menyatakan bahwa seorang pelaku berbahaya memperoleh akses tanpa otorisasi melalui serangan baru yang melibatkan durable nonce, lalu dengan cepat mengambil alih wewenang pengelolaan Dewan Keamanan Drift. Serangan ini sangat kompleks, dipersiapkan selama beberapa minggu, termasuk penggunaan akun durable nonce untuk menandatangani transaksi sebelumnya guna menunda eksekusi. Saat ini, penyelidikan menunjukkan bahwa penyebab kejadian ini bukan karena ada kerentanan pada program Drift atau kontrak pintar; tidak ada bukti bahwa seed phrase dicuri; pelaku memperoleh hak melalui persetujuan transaksi tanpa otorisasi atau transaksi palsu (mungkin melibatkan social engineering). Hasil akhirnya menyebabkan sekitar 280 juta dolar AS dana protokol diekstraksi. Semua pinjaman, setoran treasury, dan dana transaksi ikut terdampak. DSOL (tidak disimpan di bagian Drift, termasuk aset yang dipertaruhkan ke validator Drift) dan aset dana asuransi tidak terdampak, sementara dana tersebut sedang diekstraksi untuk perlindungan. Sebagai langkah pencegahan, semua fungsi protokol yang tersisa telah dibekukan, dan multisig telah diperbarui dengan menghapus wallet yang terdampak.