SlowMist análise retrospectiva do Drift Protocol roubado: a falta de mecanismo de segurança multi-assinatura foi a principal causa, os projetos DeFi devem ensaiar situações extremas

Mensagem TechFlow Deep Tide, 02 de abril, de acordo com a revelação do fundador da SlowMist, Cos (Yu Xian) (@evilcos), a causa raiz do incidente de furto do Drift Protocol deve-se ao facto de, uma semana antes, ter sido migrado o esquema de multiassinatura para uma configuração 2/5 sem timelock (1 antigo signatário + 4 novos signatários). O atacante conseguiu, assim, assumir o controlo de permissões admin em poucas horas; em seguida, cunhou CVT em forma de moeda falsa, manipulou a Oracle (Oráculo), desativou mecanismos de segurança relacionados e, por fim, levou embora todos os activos de valor do pool, com um prejuízo superior a 200 milhões de dólares.

Cos também apelou para que todos os responsáveis por projectos DeFi revejam, o mais rapidamente possível e de forma regular, cenários extremos de risco após a comprometimento das chaves privadas owner/admin, aperfeiçoando os mecanismos de alerta e resposta; os utilizadores também devem compreender claramente a exposição a perdas do capital no protocolo DeFi em casos extremos (como má conduta interna), evitando entrar de forma cega.