Drift Protocol потерял $280 млн в результате сложной атаки; признаков кражи мнемонической фразы нет

По данным ChainCatcher, Drift Protocol сообщил в X (Twitter), что злоумышленник получил несанкционированный доступ, применив новую схему атаки с использованием durable nonces и оперативно перехватил права Security Council в Drift. В компании отмечают, что атака отличалась высокой сложностью и требовала недель подготовки: в частности, применялись durable nonce accounts для предварительной подписи транзакций с последующим отложенным исполнением. Предварительные результаты расследования указывают, что инцидент не связан с уязвимостью в программе Drift или его смарт-контрактах. Признаков компрометации мнемонической фразы не обнаружено. По оценке проекта, атакующий получил права за счет несанкционированного или поддельного подтверждения транзакций, не исключается применение социальной инженерии. В результате из средств протокола было выведено около $280 млн. Под удар попали все средства в кредитовании, депозитах хранилищ (vault) и торговых счетах. Активы DSOL (часть, не размещенная в Drift, включая средства, застейканные у валидаторов Drift) и активы страхового фонда не пострадали; средства страхового фонда в настоящее время выводятся в целях защиты. В качестве меры предосторожности оставшиеся функции протокола заморожены, а в multisig внесены изменения для исключения скомпрометированных кошельков.