-270 млн $, как вынесли Drift и в целом какой пиз**ц нас окружает

-270 млн $, как вынесли Drift и в целом какой пиз**ц нас окружает

Только что мы отошли от депега USR, приходит новый прикол в виде взлома Drift и тут есть ряд важных моментов и мыслей, которые хочется высказать

Пару слов про сам эксплоит:

В очередной раз - это была не дырка в коде. Злоумышленники использовали комбинацию социальной инженерии и легитимной функции Solana - Durable Nonces. (кто не в теме DN - это механизм в Solana, который позволяет подписывать транзакции, не завися от «времени жизни» обычного блокхэша, простыми словами подписали транзу сегодня, а отправили ее в сеть через неделю, как отложенная отправка постов в тг)

Как это все происходило

1. Подготовка

Злоумышленники начали подготовку еще в середине марта. Они использовали тактику, характерную для Lazarus: создание поддельных личностей в социальных сетях (LinkedIn, Twitter/X) и мессенджерах (Telegram).

Скорее всего, хакеры выдавали себя за технических аудиторов или сотрудников партнерских проектов, с которыми Drift планировал интеграцию или миграцию.

В криптосфере администраторы мультисиг-кошельков (Security Council) часто общаются в закрытых чатах. Хакеры могли взломать аккаунт одного из доверенных лиц и писать от его имени, либо втереться в доверие через «профессиональные» обсуждения.

2. Ловушка Durable Nonces

Членам Совета Безопасности прислали блоки транзакций, которые выглядели как «техническая подготовка к будущей миграции», в интерфейсе кошелька эти транзакции могли отображаться как обычные системные вызовы. Хакеры убедили подписантов, что эти подписи нужны для будущего обновления системы.

Два человека из пяти поставили свои подписи

3. Идеальный тайминг

Хакеры дождались 27 марта, когда Drift официально объявил о миграции на новую структуру Совета Безопасности с нулевым временем задержки (zero timelock). Это означало, что любая одобренная транзакция исполняется мгновенно, без 24-часовой паузы, которая обычно дает время заметить подвох.

1 апреля хакеры просто «вбросили» заранее подписанные транзакции в сеть, мгновенно получил права админа и вывел $285 млн всего за 12 минут.

Хотя переход на новую структуру совета (2 из 5) был объявлен 27 марта (напоминаю, ранее было 3 из 6 с обязательной временной задержкой "Timelock"), фактическое обновление параметров в блокчейне и перенос ликвидности в новые пулы заняли несколько дней. Хакеры просто ждали своего часа и использовали 1 апреля как психологическую уловку «первоапрельский пранк»

Гениально пи**ц, тут реально слов нет, но нам от этого становится только страшнее, что любой абсолютно протокол находится в зоне риска, даже если там 100500 аудитов и кристально чистый код без багов, такое невозможно просто учесть.

Теперь перейдем к следующему моменту, это Circle, вы спросите, Влад - какой нах*й Circle, тут Drift положили, но у меня тут тоже есть пара моментов, которые хочу высказать

И вот тут наступает самый сок этого цирка. Пока хакер в прямом эфире 6 часов методично переливал сотни миллионов через их же собственный мост CCTP, ребята из Circle просто наблюдали за этим

В 2021 году, когда нагибали Poly Network, Circle хватило 40 минут, чтобы проснуться и кинуть хакера в ЧС. Тогда они были «защитниками экосистемы». А сейчас? А сейчас у них IPO, и нежные чувства акционеров.

Теперь они «слишком законопослушные», чтобы спасти > 270 миллионов пользователей. Пока Drift с горящей жопой бегали в панике, Circle просто смотрели, как их принтер печатает USDC азиатам на новые яхты, ламбы, виллы

Что делать тем, у кого ликвидность была на Drift?

Следить за их соц. сетями, сейчас там идут разбирательства, нашли адреса хакеров, связываются с ними, остается только ждать новостей, больше тут ничего не сделаешь, любые инвестиции это риск, DeFi - это как Дикий Запад 2.0, где шериф (Circle) может просто стоять в стороне и смотреть, как грабят банк, потому что у него нет ордера от губернатора.