Drift Protocol: Tidak Ada Bukti Pencurian Frasa Seed, Serangan Sangat Kompleks dan Memerlukan Persiapan Mingguan

Pada 2 April, Drift Protocol men-tweet bahwa seorang pelaku berbahaya memperoleh akses tanpa izin melalui jenis serangan baru yang melibatkan nonce yang tahan lama, dengan cepat mengambil alih pengelolaan komite keamanan Drift. Serangan ini sangat kompleks dan memerlukan waktu berminggu-minggu untuk dipersiapkan, termasuk penggunaan akun nonce yang tahan lama untuk menandatangani transaksi sebelumnya guna dieksekusi secara tertunda. Investigasi saat ini menunjukkan bahwa insiden ini tidak disebabkan oleh kerentanan pada program Drift atau smart contract; tidak ada bukti pencurian seed phrase; pelaku memperoleh akses melalui persetujuan transaksi yang tidak sah atau dipalsukan (mungkin melibatkan social engineering). Hasil akhirnya menyebabkan sekitar $280 juta dana ditarik dari protokol. Semua dana untuk peminjaman, setoran vault, dan dana perdagangan terdampak. DSOL (aset yang tidak didepositkan di Drift, termasuk yang dipasangkan ke validator Drift) dan aset dana asuransi tidak terdampak, dengan dana yang terakhir ditarik untuk perlindungan. Sebagai tindakan pencegahan, semua fungsi protokol yang tersisa telah dibekukan, dan multi-signature telah diperbarui untuk menghapus wallet yang telah dikompromikan.