Drift Protocol um $270 Millionen mit Solana Durable Nonces erleichtert - Nordkorea verdächtigt

Drift Protocol, eine der größten Plattformen für perpetual futures und Kreditvergabe auf Solana, wurde um etwa 270 Millionen Dollar erleichtert, was Sicherheitsforscher als einen der raffiniertesten Social Engineering-Angriffe in der DeFi-Geschichte bezeichnen. Der Exploit beinhaltete keinen einzigen fehlerhaften Code.

Was Ist Passiert

Der Angriff nutzte Solanas haltbare Nonces - ein legitimes Feature, das es Hardware-Wallets und institutionellen Verwahrungslösungen ermöglicht, Transaktionen vorab zu signieren, ohne das standardmäßige 90-Sekunden-Ablaufdatum. Der Angreifer verwendete dieses Feature, um zwei der fünf Mitglieder des Sicherheitsrats von Drift dazu zu bringen, Transaktionen zu signieren, die wie routinemäßige Transaktionen aussahen, und hielt diese vorab signierten Genehmigungen über eine Woche, bevor er sie ausführte.

Am 23. März wurden vier haltbare Nonce-Konten erstellt - zwei, die mit legitimen Drift-Ratsmitgliedern verbunden waren, und zwei, die vom Angreifer kontrolliert wurden. Bis zum 30. März hatte sich der Angreifer an eine geplante Migration des Sicherheitsrats angepasst und die erforderliche Genehmigungsschwelle von zwei von fünf wiedererlangt. Am 1. April reichte der Angreifer die vorab signierten Transaktionen in zwei Operationen ein, die nur vier Slots auf der Solana-Blockchain auseinander lagen, und erlangte in weniger als einer Minute die volle Kontrolle über die Protokollberechtigungen von Drift.

Aufschlüsselung von 270 Millionen Dollar

Onchain-Forscher verfolgten die gestohlenen Vermögenswerte in Echtzeit:

• 155,6 Millionen Dollar in JLP-Token
• 60,4 Millionen Dollar in USDC
• 11,3 Millionen Dollar in CBBTC (Coinbase wrapped Bitcoin)
• 5,65 Millionen Dollar in USDT
• 4,7 Millionen Dollar in wrapped ETH
• 4,5 Millionen Dollar in DSOL
• 4,4 Millionen Dollar in WBTC
• 4,1 Millionen Dollar in FARTCOIN
• Kleinere Beträge über JUP, JITOSOL, MSOL, BSOL, EURC und andere

Nordkorea-Verbindung

Die Blockchain-Analysefirma Elliptic hat Muster für grenzüberschreitendes Geldwäsche und Solana-spezifische Rückverfolgungsherausforderungen identifiziert, die frühere staatlich verknüpfte Operationen Nordkoreas widerspiegeln. Der Angreifer verwendete eine Wallet, die acht Tage vor dem Angriff über NEAR Protocol intents finanziert wurde, und bewegte gestohlene Gelder über Wormhole nach Ethereum, wobei vorfinanzierte Adressen über Tornado Cash gewaschen wurden.

ZachXBT stellte fest, dass über 230 Millionen Dollar in USDC über Circle's CCTP von Solana nach Ethereum in mehr als 100 Transaktionen transferiert wurden und kritisierte Circle dafür, dass sie die Gelder während eines sechs Stunden dauernden Zeitfensters nach Beginn des Angriffs nicht eingefroren haben.

Ein Muster von Social Engineering

Dies markiert den dritten großen DeFi-Exploit in den letzten Monaten, der keine Codeanfälligkeit beinhaltete. Das Muster spiegelt den Bybit-Hack (1,4 Milliarden Dollar), den Ronin-Bridge-Exploit (625 Millionen Dollar) und den Cetus Protocol-Bruch (223 Millionen Dollar) wider - alles Fälle, in denen Social Engineering, nicht Bugs in Smart Contracts, der Angriffsvektor war.

Wie ein Forscher bemerkte: "Wir haben das schon einmal gesehen. Dasselbe Konzept. Social Engineering. Kein Code."

Was Passiert Jetzt

Drift Protocol wurde eingefroren, und die kompromittierte Wallet wurde aus dem Multisig entfernt. Alle Einlagen in Drifts Kredit- und Leihprodukte, Vault-Einlagen und Handelsfonds sind betroffen. Vermögenswerte des Versicherungsfonds werden abgezogen und gesichert. DSOL-Token, die nicht in Drift eingezahlt wurden, einschließlich Vermögenswerte, die an den Drift-Validator gestakt sind, bleiben unberührt.

Der Exploit hat dringende Forderungen erneuert, dass DeFi-Protokolle ihre Abhängigkeit von Multisig-Governance überdenken und zusätzliche Sicherheitsvorkehrungen für die Verwendung von haltbaren Nonces implementieren, einschließlich zeitlich gesperrter Ausführungsfenster und Echtzeit-Nonce-Überwachung.