深潮 TechFlow のメッセージ。4月2日、SlowMist の創業者 Cos(余弦)(@evilcos)が明らかにしたところによると、Drift Protocol の盗難事件の根本原因は、その1週間前にマルチシグ・ソリューションを 2/5 へ移行し、かつ timelock のない設定(旧署名者1名+新署名者4名)にしていたことにあります。攻撃者はこれを利用して、数時間のうちに admin 権限を掌握し、その後に CVT の偽造コインを鋳造し、オラクル(Oracle)を操作し、関連する安全メカニズムを無効化し、最終的にプール内の価値ある全資産を持ち去りました。損失は2億ドル超です。Cos はまた、すべての DeFi プロジェクトの運営者は、owner/admin の秘密鍵が漏えいした後の極端なリスクシナリオについて、できるだけ早く、かつ定期的に見直しを行い、アラートおよび対応メカニズムを整備すべきだと呼びかけています。ユーザーもまた、自分が参加している DeFi プロトコルが極端な状況(例:内部不正)においてどの程度の資金損失エクスポージャーを負うのかを明確に理解し、むやみに参入することを避けるべきです。
慢雾コサインによるDrift Protocolの盗難事件の振り返り:多署名のセキュリティメカニズムの欠如が主な原因であり、DeFiプロジェクトは極端な状況を事前にシミュレーションする必要がある
深潮 TechFlow のメッセージ。4月2日、SlowMist の創業者 Cos(余弦)(@evilcos)が明らかにしたところによると、Drift Protocol の盗難事件の根本原因は、その1週間前にマルチシグ・ソリューションを 2/5 へ移行し、かつ timelock のない設定(旧署名者1名+新署名者4名)にしていたことにあります。攻撃者はこれを利用して、数時間のうちに admin 権限を掌握し、その後に CVT の偽造コインを鋳造し、オラクル(Oracle)を操作し、関連する安全メカニズムを無効化し、最終的にプール内の価値ある全資産を持ち去りました。損失は2億ドル超です。
Cos はまた、すべての DeFi プロジェクトの運営者は、owner/admin の秘密鍵が漏えいした後の極端なリスクシナリオについて、できるだけ早く、かつ定期的に見直しを行い、アラートおよび対応メカニズムを整備すべきだと呼びかけています。ユーザーもまた、自分が参加している DeFi プロトコルが極端な状況(例:内部不正)においてどの程度の資金損失エクスポージャーを負うのかを明確に理解し、むやみに参入することを避けるべきです。