Кратко

  • Исследователи и эксперты тщательно изучают дизайн Drift, задаваясь вопросом, могли ли определенные особенности или процедуры помешать эксплойту на $285 млн.
  • Инцидент, по словам операционного директора SVRN Дэвида Шведа, показывает, что многие DeFi-проекты уделяют больше внимания технической безопасности, чем гигиене кибербезопасности.
  • Некоторые наблюдатели считают, что функция «тайм-лок» дала бы Drift возможность вмешаться и, возможно, предотвратить выведение средств злоумышленником.

Когда с протокола децентрализованных финансов похищаются миллионы долларов в криптовалюте, за этим неизменно следуют тяжелые вопросы — и эксплойт Drift Protocol на $285 млн, произошедший в среду, не стал исключением.

Проект на базе Solana оказался в центре внимания, поскольку исследователи и эксперты изучают его архитектуру, поднимая вопросы, могли ли определённые функции или процедуры не допустить одну из самых прибыльных атак на DeFi за последнее время.

В посте на X команда Drift заявила, что злонамеренное лицо получило несанкционированный доступ к их платформе с помощью «новой атаки», предоставившей административные полномочия над так называемым советом безопасности Drift. Было добавлено, что для атаки, вероятно, использовались сложные методы социальной инженерии.

Этот взлом, вошедший в число крупнейших в истории DeFi, был реализован путём внедрения фальшивого цифрового актива на платформе децентрализованной биржи и изменения лимитов на вывод средств. После искусственного завышения стоимости вредоносного токена злоумышленник получил возможность быстро выводить реальную ликвидность из Drift, злоупотребляя механизмами заимствования.

Существуют признаки того, что эксплойт связан с Корейской Народно-Демократической Республикой, говорится в докладе блокчейн-аналитической фирмы Elliptic, опубликованном в четверг. Внимание организаций привлекли поведение злоумышленника в сети, методы отмывания средств и сетевые индикаторы.

Так как депозиты пользователей оказались под угрозой, а протокол был заморожен в качестве меры предосторожности, фокус обсуждения сместился на ключевой элемент дизайна Drift: мультиподписной кошелек, благодаря которому подписи, созданные двумя приватными ключами, позволили злоумышленнику завладеть широкими полномочиями.

Мультиподписные кошельки представляют собой точку централизации для многих DeFi-проектов, и этот инцидент показывает неприятную истину: аудиты смарт-контрактов способны предотвратить далеко не всё, по мнению Дэвида Шведа, операционного директора SVRN и эксперта по безопасности блокчейна. 

Он рассказал

Decrypt
, что Drift стал очередным примером того, как сервисы, стремящиеся заменить финансовых посредников кодом, часто зависят от небольших команд и точек централизации, таких как мультиподписные кошельки, что создаёт киберриски.

«Сегодня все инженеры сосредоточены на технологической стороне безопасности, но не уделяют внимания человеческому фактору», — отметил Швед. «Да, протокол децентрализован, но его управление сконцентрировано в руках пяти человек».

«Вновь и вновь»

Швед сопоставил уязвимость Drift с одной из самых известных атак на DeFi — кражей цифровых активов более чем на $625 млн группой хакеров, связанной с КНДР, в 2022 году. Объектом нападения стала Ronin, сайдчейн Ethereum, созданная для игры Axie Infinity. По данным Chainalysis, для атаки хакеры получили доступ к пяти приватным ключам.

Пока одни блокчейн-аналитики говорят о следе государства, другие отмечают, что точность атаки требует глубокого понимания протокола. Швед считает маловероятным, что за атакой на Drift стоят хакеры, связанные с КНДР, так как злоумышленник, возможно инсайдер, «точно знал, кого атаковать».

Наблюдатели предполагают, что функция «тайм-лок» могла бы воспрепятствовать столь быстрой реализации эксплойта. Этот элемент смарт-контракта ограничивает исполнение транзакций или доступ к средствам до наступления определённого времени в будущем, давая команде Drift окно для реакции.

«Тайм-локи действительно помогают выиграть время на реакцию в случае атаки и могли бы помочь в этом случае, но это не корень проблемы», — сказал Стефан Байер, управляющий партнёр Oak Security,

Decrypt
. «Главная беда в том, что вновь и вновь компрометируется привилегированный ключ».

Тем не менее, Дэн Хунфэй, основатель и председатель Neo Blockchain, утверждает, что такие протоколы, как Drift, оперирующие миллионами долларов, не должны быть уязвимы для мгновенного опустошения средств.

В посте на X он заявил, что тайм-локи, связанные с критически важными действиями, такими как листинг рискованных активов, должны применяться для «предотвращения завершения всей атаки за считанные секунды».

Такую же позицию занимает и Ор Дадош, основатель поставщика инфраструктуры криптозащиты Venn Network. Он также указал на автоматические схематические прерыватели (circuit breakers), которые позволяют проектам моментально приостанавливать операции при аномальной скорости или объёме вывода средств.

Несколько экспертов по безопасности высказали мнение, что Drift — не последний DeFi-проект, который пострадает от подобного эксплойта. Они отмечают, что злоумышленники всё чаще используют ИИ, применяя алгоритмы для детального изучения будущих целей.

«Мы пришли к тому, что злоумышленник может подделать по телефону голос вашей матери», — сказал Дадош

Decrypt
. «Мы живём в новую эпоху, когда финансовые атаки могут появляться там и в тех форматах, которых мы не могли себе представить ещё год назад».