DeFi貸付プロトコルDriftが10秒以内に2億ドル以上を盗まれ、15以上のプロジェクトが影響を受けた
著者:谷昱,ChainCatcher
今日の午前1時頃、DeFi分野で再び大規模な盗難事件が発生し、Solanaの貸付プロトコルDriftがハッカーに攻撃され、2.2億ドル以上のユーザー資産が10秒以内に盗まれました。
事件発生後、Driftトークンは短時間で40%以上下落し、現在のFDVは約4400万ドルです。Solanaエコシステムに関わる多くの資産が影響を受け、SOL、JUPなどのSolana関連トークンも異常な下落を示しました。
Driftは以前、Solanaエコシステムで最大の貸付プロトコルの一つであり、RootDataによると、このプロトコルは累計で5200万ドル以上の資金調達を行い、投資者にはMulticoin Capital、Polychain、Robot Ventures、Blockchain Capital、Ethereal Ventures、Jump Capitalなどの一流VCが含まれています。
公開された分析によると、今回のDriftの盗難は複数のアドレスの漏洩と密接に関連しており、ガバナンス攻撃やオラクル攻撃などの一般的な攻撃手法が重なっています。攻撃者は単一の署名鍵を利用し、一度の取引で全ての操作を完了しました:偽の市場を作成し、オラクルを操作し、出金制限を解除しました。
頻繁に見られる攻撃手法とプロジェクト側の脆弱な予防策は、DeFi分野の脆弱性を再び露呈させました。Chaos Labsの創設者Omer Goldbergのツイートと関連する解釈に基づき、以下は盗難プロセスの詳細な分析です:
事件の最初の兆候は1週間前に発生しました。1週間前、Driftはプロトコルの管理権限を古いマルチシグウォレットから新しいマルチシグウォレットに移行しました。この新しいウォレットは古いマルチシグの署名者の一人によって作成されましたが、その署名者は新しいマルチシグウォレットに自分を追加しませんでした。
攻撃者はこの脆弱性を利用し、まず古いマルチシグで提案を発起し、Driftの管理権限を新しいウォレット(攻撃者が制御)に移しました。
新しいマルチシグは5人の署名者を設定し、そのうちの1人だけが古いもので、残りの4人は全て新しいものでした。ルールは非常に緩く、2/5の同意があれば(つまり2人の署名があれば十分)で、0秒のタイムロック(提案が通過するとすぐに実行され、待機期間はありません)。
今日の午前、唯一残っていた古い署名者が新しいマルチシグで提案を提出しました:「Driftの管理権限を攻撃者が実際に制御しているウォレットに変更する」
数秒後、別の新しい署名者がすぐに署名し、簡単に⅖の閾値に達しました。タイムロックがないため、提案は瞬時に実行され、攻撃者は完全な管理権限を取得しました。
その後、攻撃者はすぐに権限を利用してDriftプロトコルにCVT現物市場を作成しました。このトークンの総供給量は約7.5億で、攻撃者は6億を保有しています。続いて、攻撃者は自分が制御するSwitchboardOnDemandオラクルを使用し、Driftがそのオラクルを読み取るように設定しました。
操作が完了した後、攻撃者は20件の取引を通じて、ほぼ無価値だったCVTトークンの価格を引き上げ、自分が預けた6億CVTがオラクルによって数億ドルの価値があるように見せました。これにより、攻撃者は約2.2億〜2.8億ドルの資産を借り出しました。その中には、4172万枚のJLP(Jupiter LPトークン、約1.55億ドルの価値)、5161万枚のUSDC、164枚のcbBTC(約1129万ドルの価値)などが含まれています。
DeFiのモジュール構造は、この分野の最大の利点と見なされていましたが、今やこの利点はドミノのようにリスクをSolanaエコシステムに統合されたDrift貸付市場の他のDeFiプロトコルに伝えています。
Jupiterはこの安全事故の影響を最も受けた被害者であり、盗まれた最も多くのJLPはJupiterの永続契約市場の核心LP資産であり、今回の盗難はJupiterの永続契約市場の流動性を大幅に低下させ、資金の恐慌的な撤退やJUPトークンの下落などの連鎖反応を引き起こすでしょう。
さらに、Perena、Project 0、Exponent、Carrot、Ranger、PiggyBank、Reflect、Project 0、Elemental、Neutral Trade、Pyra、Fuse、Neutral Trade、XPlaceなど、15以上のDeFiプロトコルがDriftの盗難の影響を受けたことを確認し、一部の出金機能が停止しています。
しかし、すべての安全事故の中で、最も影響を受けたのはユーザーであり、継続的なハッカー事件はユーザーのDeFiに対する信頼を再三揺るがしています。
「今日は他のことはせず、すべてのチェーン上の古いプロジェクトの資金を引き出し、特別に理解していない新しいプロジェクトには投資しない。多事之秋、人間性を試すべきではない。」この事件で6000ドル以上の損失を被った著名なKOL土澳大师兄はこう投稿しました。
関連記事
Perp DEX:次世代取引所「戦争」
鉱山企業のAI大博打:評価が分化段階に入り、逆転は難しい
アライアンスが起業家に送る手紙:Cursorが600億ドルで売却される際に書かれた
ステーブルコインがついに真の収益を見つけた:オンチェーン再保険 Re の詳細|Re 創設者カラン・サロヤとの対話
不可能三角は根本的に偽の問題です
マイクロストラテジーはデススパイラルに陥るのか?下半期のマクロトレンドはどうなるのか?
ブロックチェーンキャピタルのパートナー:アービトラージの核心的な秘訣
STRC 脱錨 11%、Strategy の永久機関はまだ動いていますか?
早報|イリノイ州が全米で最も厳しいデジタル資産税法に署名;RWAトークン化市場規模が430億ドルを突破、機関がオンチェーン資産の移行を加速
完全版初回ショーQ&A!連邦準備制度理事会議長ウォッシュ:2%のインフレ目標を守り、5つの特別作業部会を設立、個人の点状図は提出せず
破壊者から影の市場へ:暗号市場は伝統的金融の植民地になりつつある
ダリオの重要な長文:現在の市場環境でどのように配置すべきか?
OKX StarがBinanceの競争優位性を鋭く評価:規制が城壁を平坦にすると、競争は始まったばかりです
暗号取引所の新しいプレイスタイル
早報|DeepSeekが70億ドル以上の資金調達を完了し、評価額は500億ドルを超える;マスクの個人資産はビットコインの総時価総額を超えた
カーソル、なぜマスクの宇宙船に乗ったのですか?
慈善の名のもとに、家族の利益:トランプ家族はどのように慈善を利益に変えたのか?
