Protokol pinjaman DeFi Drift dicuri lebih dari 200 juta dolar dalam 10 detik, lebih dari 15 proyek terdampak

作者：谷昱，ChainCatcher

Sekitar pukul 1 dini hari, insiden pencurian berskala besar lainnya kembali terjadi di bidang DeFi. Protokol pinjam-meminjam Drift di Solana diserang oleh peretas, dan lebih dari 220 juta dolar AS aset pengguna dicuri oleh peretas dalam waktu sepuluh detik.

Setelah kejadian tersebut, token Drift turun lebih dari 40% dalam waktu singkat. Saat ini FDV sekitar 44 juta dolar AS. Karena melibatkan banyak aset dalam ekosistem Solana, token di bidang Solana seperti SOL dan JUP mengalami penurunan abnormal dengan berbagai tingkat.

Sebelumnya, Drift adalah salah satu protokol pinjam-meminjam terbesar dalam ekosistem Solana. Menurut RootData, jumlah pendanaan kumulatif protokol ini lebih dari 52 juta dolar AS; investor terkemuka termasuk Multicoin Capital, Polychain, Robot Ventures, Blockchain Capital, Ethereal Ventures, Jump Capital, dan lainnya.

Berdasarkan analisis publik, pencurian kali ini di Drift sangat terkait erat dengan kontrol akses alamat multisig yang diperoleh secara ilegal, sekaligus ditambah dengan teknik serangan umum seperti serangan terhadap tata kelola (governance) dan serangan terhadap oracle. Penyerang menggunakan kunci tanda tangan tunggal untuk menyelesaikan seluruh rangkaian operasi dalam satu transaksi: membuat pasar palsu, memanipulasi oracle, dan mencabut batasan penarikan. Di antara semuanya, kebocoran private key alamat multisig berpotensi melibatkan pelaku dari orang dalam.

Teknik serangan yang kerap terjadi, serta langkah pencegahan dari pihak proyek yang lemah, kembali mengungkap kerentanan di bidang DeFi. Berdasarkan kicauan pendiri Chaos Labs, Omer Goldberg, dan interpretasi terkait, berikut analisis rinci mengenai proses pencurian:

Tanda awal kejadian muncul satu minggu sebelumnya. Satu minggu lalu, Drift memindahkan hak manajemen protokol dari dompet multisig lama ke multisig baru. Dompet ini dibuat oleh salah satu penanda tangan di dalam multisig lama, tetapi penanda tangan tersebut tidak memasukkan dirinya ke dalam dompet multisig baru.

Penyerang memanfaatkan celah ini: mula-mula mengajukan proposal di multisig lama, lalu mengalihkan hak administrator Drift ke sebuah dompet baru (yang dikendalikan oleh penyerang).

Multisig baru menetapkan 5 penandatangan, di mana hanya 1 berasal dari yang lama; 4 lainnya semuanya benar-benar baru. Aturannya sangat longgar: cukup 2/5 orang menyetujui (artinya cukup 2 orang menandatangani), dan tidak ada time lock 0 detik (proposal dieksekusi segera setelah disetujui, tanpa masa tunggu apa pun).

Tadi dini hari, satu-satunya penanda tangan lama yang tertinggal menggunakan multisig baru untuk mengajukan proposal: “Ubah hak administrator Drift menjadi dompet yang sebenarnya dikendalikan oleh penyerang”.

Beberapa detik kemudian, penanda tangan baru lainnya langsung ikut menandatangani, dengan mudah mencapai ambang ⅖.
Karena tidak ada time lock, proposal dieksekusi seketika, sehingga penyerang memperoleh hak administrator penuh.

Setelah itu, penyerang segera menggunakan hak tersebut untuk membuat pasar spot CVT di protokol Drift. Total pasokan token tersebut sekitar 750 juta, dan penyerang memegang 600 juta. Selanjutnya, penyerang menggunakan oracle SwitchboardOnDemand yang dikendalikannya sendiri, lalu mengonfigurasikan Drift agar membaca oracle tersebut.

Setelah pekerjaan selesai, melalui 20 transaksi, penyerang menaikkan harga token CVT yang sebenarnya nyaris tidak bernilai, sehingga CVT 600 juta yang disimpannya terlihat bernilai beberapa ratus juta dolar AS berdasarkan oracle. Dengan demikian, penyerang meminjam aset bernilai sekitar 220 hingga 280 juta dolar AS, termasuk 41,72 juta JLP (Jupiter LP token, senilai sekitar 155 juta dolar AS), 51,61 juta USDC, 164 cbBTC (senilai sekitar 11,29 juta dolar AS), dan lainnya.

Struktur modular seperti balok (pembangunan bertingkat) di DeFi dulu dianggap sebagai keunggulan terbesar di bidang tersebut. Namun kini keunggulan itu juga menyalurkan risiko ke ekosistem Solana, seperti kartu domino, ke protokol DeFi lain yang terintegrasi dengan pasar pinjam-meminjam Drifi.

Jupiter adalah pihak yang paling terdampak dalam insiden keamanannya. JLP yang dicuri paling banyak adalah aset LP inti di pasar kontrak berjangka (perpetual) Jupiter. Pencurian kali ini akan secara signifikan menurunkan likuiditas pasar kontrak berjangka perpetual Jupiter, serta menimbulkan efek berantai seperti kepanikan penarikan dana dan penurunan token JUP.

Selain itu, lebih dari 15 protokol DeFi seperti Perena, Project 0, Exponent, Carrot, Ranger, PiggyBank, Reflect, Elemental, Neutral Trade, Pyra, Fuse, XPlace, dan lainnya menerbitkan posting yang mengonfirmasi dampak dari kejadian pencurian Drift pada berbagai tingkat, dan sebagian fungsi penarikan sudah dihentikan.

Namun di semua insiden keamanan, yang paling terdampak tetaplah pengguna. Serangkaian insiden peretasan yang terus berulang kembali menghantam kepercayaan pengguna terhadap DeFi.

“Hari ini, tidak ngurus yang lain, semua dana dari proyek-proyek lama di semua chain dikeluarkan; untuk proyek baru, kecuali kalau benar-benar paham, tidak akan dipasang juga. Masa sulit dan banyak urusan, jangan uji sisi manusia.” Setelah mengalami kerugian lebih dari 6000 dolar AS dalam insiden tersebut, KOL terkenal, Tanah Australia Masterjias (土澳大师兄), menulis posting seperti itu.