Drift Protocol: Tidak ada bukti yang menunjukkan kata sandi dicuri, serangan sangat kompleks, dan dipersiapkan selama beberapa minggu

CoinDesk melaporkan, pada 2 April, Drift Protocol memposting bahwa seorang pelaku berbahaya memperoleh akses tanpa otorisasi melalui serangan baru yang melibatkan durable nonce, lalu dengan cepat mengambil alih wewenang manajemen Komite Keamanan Drift. Serangan ini sangat kompleks, disiapkan selama berminggu-minggu, termasuk dengan menggunakan akun durable nonce untuk menandatangani transaksi secara prapenyusunan guna menunda pelaksanaan.
Saat ini, hasil penyelidikan menunjukkan bahwa penyebab insiden ini bukanlah adanya kerentanan pada program atau smart contract Drift; tidak ada bukti bahwa frasa sandi (seed phrase) dicuri; penyerang memperoleh akses melalui persetujuan transaksi tanpa otorisasi atau transaksi palsu (mungkin melibatkan social engineering). Hasil akhirnya menyebabkan dana protokol sekitar 280 juta dolar AS ditarik. Semua dana pinjaman, setoran cadangan emas, dan dana transaksi terdampak. Aset DSOL (tidak disetor ke bagian Drift, termasuk aset yang di-staking ke validator Drift) serta aset dana asuransi tidak terdampak, yang terakhir justru sedang ditarik untuk perlindungan. Sebagai langkah pencegahan, semua fungsi protokol yang tersisa telah dibekukan, dan multi-signature telah diperbarui dengan menghapus dompet yang terdampak.