Хак протокола Drift: $280M был выведен с помощью социальной инженерии и эксплойта nonce

Более изощрённая атака потрясла DeFi: взлом протокола Drift выявил критические уязвимости в операционной безопасности и механизмах утверждения транзакций.

Как $280 млн были выведены из Drift Protocol

На Drift Protocol злоумышленникам удалось вывести около $280 млн с соответствующего кошелька, затронув почти половину его средств. По словам команды, это была высоко организованная операция, которая разворачивалась со временем, а не являлась простой ситуационной кражей.

Кроме того, эксплойт был сосредоточен вокруг предварительно подписанных транзакций с долговечным nonce (durable nonce). Эти специальные транзакции могут быть выполнены позже, вне рамок обычных ожиданий по времени. Злоумышленник выждал и затем активировал их в стратегический момент, превратив рутинный механизм операционного процесса в мощный вектор атаки.

Социальная инженерия и манипуляции с multisig

Однако, по сообщениям, основа инцидента не лежала в коде. Вместо этого злоумышленник, как утверждается, применил целевую социальную инженерию, чтобы ввести в заблуждение нескольких подписантов multisig. Завоевав доверие и составив убедительные сообщения, он добился того, чтобы подписанты утвердили опасные действия, не распознав лежащий в основе риск.

Этот процесс позволил злоумышленнику закрепить за собой захват административных привилегий над критически важной инфраструктурой, связанной с протоколом. Обладая повышенными правами, они могли санкционировать перемещения средств и выполнить эти отложенные транзакции, что привело к масштабному выводу активов.

Почему это не стало следствием сбоя смарт-контракта

Команда прямо пояснила, что утечка не была вызвана ошибкой в смарт-контракте или каким-либо дефектом в коде протокола. Фразовые seed и ключи основного кошелька также не были скомпрометированы. Тем не менее, сочетание инструментов для отложенных транзакций и человеческого обмана создало эффективную уязвимость вне цепочки (off-chain).

В своём внутреннем анализе протокола Drift проект подчеркнул, что одних только аудитов кода недостаточно для предотвращения этого типа атаки. Нужны более жёсткие процедуры вокруг проверки подписантов, подтверждений по внешним каналам (out-of-band) и лимитов транзакций при использовании мощных административных кошельков.

Уроки взлома протокола Drift для безопасности DeFi

Взлом протокола Drift подчёркивает, как человеческий фактор способен подорвать даже хорошо проверенные системы. Кроме того, он показывает, что механизмы долговечного nonce и настройки multisig должны сочетаться со строгими политиками, включая подтверждения по нескольким каналам и контекстные проверки перед утверждением действий.

Для более широкой экосистемы этот инцидент, вероятно, повлияет на будущие практики обновления безопасности протокола Drift и на более общие стандарты DeFi. В частности, протоколы могут пересмотреть использование предварительно подписанных транзакций, заново обдумать политики ротации подписантов и настоятельно внедрять непрерывное обучение против попыток атак через социальную инженерию в multisig.

В конечном счёте, событие представляет собой подробный разбор кейса эксплойта, в результате которого были выведены средства из кошелька. Оно подчёркивает необходимость относиться к операционной безопасности, поведению подписантов и коммуникации вне цепочки с той же строгостью, что и к коду в ончейне, особенно там, где крупные административные кошельки контролируют пользовательские активы.