Saya baru saja meninjau analisis yang dipublikasikan Goldberg tentang serangan Drift dan jujur saja, ada beberapa detail yang cukup mengkhawatirkan yang sebagian besar orang tidak perhatikan. Orang tersebut adalah pendiri Chaos Labs, jadi dia tahu apa yang dia bicarakan ketika berbicara tentang keamanan di DeFi.

Yang paling menarik perhatian saya adalah bagaimana serangan tersebut mengeksploitasi beberapa lapisan kerentanan secara bersamaan. Ini bukan hanya satu kesalahan, melainkan beberapa yang saling terkait. Pertama, tidak adanya penguncian waktu (time lock) dalam pengaturan multisig memungkinkan transaksi tidak sah berjalan tanpa hambatan. Kemudian, seseorang dengan pengetahuan mendalam tentang sistem memanfaatkan persyaratan tanda tangan minimal dan kerentanan dalam paket kode sumber terbuka untuk mendapatkan akses root ke mesin pengembang. Itu adalah tingkat kecanggihan yang luar biasa.

Goldberg juga menyoroti bagaimana kunci administrator menjadi kunci utama dalam semua ini. Secara harfiah, mereka memungkinkan pembuatan multisig baru tanpa sepengetahuan penandatangan asli. Setelah itu, yang paling cerdas: mereka membuat token palsu dengan parameter tak terbatas untuk memanipulasi pasar dan orakel. Artinya, serangan ini tidak hanya teknis, tetapi juga strategis.

Apa yang ditekankan Goldberg di akhir adalah hal yang penting: ini mengungkapkan masalah sistemik di DeFi. Arsitektur keamanan di banyak protokol tidak dirancang untuk menghadapi serangan terkoordinasi seperti ini. Kita perlu manajemen jaminan yang lebih baik, pemahaman yang lebih dalam tentang mekanisme token, dan yang terpenting, meningkatkan cara kita merancang sistem ini dari awal. Ini bukan hanya masalah Drift, tetapi masalah seluruh industri.