当数百万美元的加密货币从一个去中心化金融协议中被盗走时，通常会出现严峻的问题——而 Drift Protocol 在周三的 $2.85 亿的漏洞 也不例外。

这个基于Solana的项目已被推到了风口浪尖，研究人员和专家们对其设计进行了深入分析，提出了某些设计特征或程序是否可能阻止某人实施最近的最有利可图的 DeFi 攻击的问题。

在 X 上的一篇帖子中，Drift 指出，一个恶意行为者通过一种“新颖的攻击”获得了对其平台的未经授权访问，从而获得了对 Drift 所谓的安全委员会的管理权。他们补充说，这次攻击可能涉及某种程度的“复杂社会工程”。



这次劫持事件是 DeFi 最近历史上最大的事件之一，依赖于在去中心化交易所上引入一个虚假的数字资产并修改平台的取款限制。在人为膨胀恶意代币的价值后，攻击者得以快速抽走 Drift 的真实流动资金，利用借贷机制进行操控。

根据区块链 intelligence 公司 Elliptic 在周四的报告，劫持事件与朝鲜民主主义人民共和国有关。他们指出了攻击者的链上行为、洗钱方法和网络级指标。

由于用户存款受到影响——且该协议由于预防措施而被冻结——旁观者们也开始关注 Drift 设计中的一个核心元素：一个多重签名钱包，其中由两个私钥生成的签名使攻击者获得了广泛的权力。

多重签名钱包代表了许多 DeFi 项目的集中化风险，而这一事件揭示了一个令人不安的现实，即智能合约审计只能防止有限的损害，SVRN COO 和区块链安全专家 David Schwed 指出。

他告诉Decrypt，Drift 已成为又一个示例，说明试图用代码替代金融中介的服务往往依赖于小团队和像多重签名钱包这样的集中化点，这些点存在网络安全风险。

“如今所有工程师都专注于安全的技术侧，而没有关注流程中的人，”他说。“所以是的，协议是去中心化的，但其治理却是集中在五个人身上。”

‘又一次’

Schwed 将 Drift 的安全漏洞与 2022 年由与北朝鲜有关的黑客盗取超过 6.25 亿美元数字资产的最臭名昭著的 DeFi 黑客事件进行了比较。他们瞄准了为热门 NFT 游戏 Axie Infinity 开发的以太坊侧链 Ronin。根据区块链安全公司 Chainalysis 的说法，此次攻击依赖于获取五个私钥的访问权限。

虽然区块链分析师认为这是一个国家行为的印记，但其他人认为攻击的精准性表明对协议有更深入的了解。Schwed 怀疑与北朝鲜有关的黑客参与了对 Drift 的攻击，因为攻击者“知道该瞄准谁”，可能是内部人员。

旁观者猜测，“时间锁”可能会阻止攻击发生得如此迅速。智能合约功能限制了交易的执行或资金的访问，直到达到特定的未来时间，这可能为 Drift 团队提供了一个介入的窗口。

“时间锁对于争取反应时间非常有帮助，并在这里提供帮助——但这不是根本原因。”Oak Security 的管理合伙人 Stefan Byer 告诉Decrypt。“最大的问题是——又一次——一个特权密钥被泄露了。”

尽管如此，Neo Blockchain 的创始人和主席 Dan Hongfei 认为，像 Drift 这样储存数百万美元资金的协议不应该能够被迅速抽空。

在 X 上的一篇帖子中，他表示，与列出高风险资产等关键行动相关的时间锁必须得到执行，以“防止攻击者在几秒钟内完成整个漏洞链。”

这一观点得到了加密安全基础设施提供商 Venn Network 创始人 Or Dadosh 的呼应。他还提到了自动断路器，使项目能够立即暂停操作，如果异常流出速度或体积阈值被突破。

几位安全专家推测，Drift 不会是最后一个遭受类似周三发生的漏洞的 DeFi 项目。他们指出，恶意行为者越来越多地转向人工智能，利用算法对下一个目标进行全面的了解。

“我们已经达到一个水平，恶意行为者能够伪造你母亲的声音进行电话通话，”Dadosh 告诉Decrypt。“我们生活在一个新时代，在这个时代，金融攻击可能在我们一年前根本无法想象的地方和形式中出现。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。