同社はXで、プロトコル上で「異常なアクティビティ」を調査していると投稿し、それがApril Fool's jokeではないとユーザーに伝えた。 セキュリティ研究者の推定では、損失は最大2億4000万ドルにのぼり、攻撃者が1週間前にMultisigのアップグレードに侵入した後、主な脆弱性はガバナンスのセキュリティだとしている。 ある独立した研究者は次のように観察した。「これは技術的な脆弱性ではありません。ガバナンスの大惨事です。Driftのスマートコントラクト自体は問題ありませんでした。問題は次のとおりでした: • Multisigの引き渡しプロセスの失敗 • ハッカーに「master key」を渡したこと • その後のすべての操作が『正当な』呼び出しだったこと」 要約すると、「Driftのハックの本質=Unified Liquidity Pool(リスク集中)× Multisigの脆弱性(特権喪失)× 過剰な管理者権限(チェックなし)」 「2億4000万ドルの代償で、DeFi業界全体に向けて警報が鳴りました。」
DeFiプラットフォーム Drift、暗号資産ハッキング後に入金と出金を停止
同社はXで、プロトコル上で「異常なアクティビティ」を調査していると投稿し、それがApril Fool’s jokeではないとユーザーに伝えた。
セキュリティ研究者の推定では、損失は最大2億4000万ドルにのぼり、攻撃者が1週間前にMultisigのアップグレードに侵入した後、主な脆弱性はガバナンスのセキュリティだとしている。
ある独立した研究者は次のように観察した。「これは技術的な脆弱性ではありません。ガバナンスの大惨事です。Driftのスマートコントラクト自体は問題ありませんでした。問題は次のとおりでした:
• Multisigの引き渡しプロセスの失敗
• ハッカーに「master key」を渡したこと
• その後のすべての操作が『正当な』呼び出しだったこと」
要約すると、「Driftのハックの本質=Unified Liquidity Pool(リスク集中)× Multisigの脆弱性(特権喪失)× 過剰な管理者権限(チェックなし)」
「2億4000万ドルの代償で、DeFi業界全体に向けて警報が鳴りました。」