北朝鮮の脅威アクターが、分散型金融(DeFi)プラットフォームDriftから2億8,500万ドルの強奪に関与している可能性があり、この攻撃は綿密に計画された作戦の一部として実行されました。
Driftによると、この事件は「高度に洗練された作戦」であり、「トランザクション実行を遅延させるための耐久性のあるノンスアカウントの使用」と「マルチシグ署名者の承認の侵害」が含まれていました。
「Drift Protocolは、この事件の原因を特定するために複数のセキュリティ企業と連携しています。Driftはまた、盗まれた資産の追跡と凍結を行うために、ブリッジ、取引所、および法執行機関と協力しています」とDrift は述べており、今後の事後報告で詳細情報を提供することを約束しています。
ブロックチェーンセキュリティ企業Ellipticによると、攻撃は北朝鮮の脅威アクターによってマウントされた可能性があり、Driftから2億8,600万ドルの盗難をもたらしました。過去数年間、平壌に関連するハッカーが暗号資産で65億ドル以上を盗んだと推定されています。
攻撃は極めて高い精密性で実行されました。ハッカーは約8日前に支援インフラを構築し、複数のノンスベースのトランザクションを準備し、管理者制御を獲得し、5つのボールトから数秒で資金を流出させ、すぐに複数のウォレットを通じて資金洗浄を開始しました。
PIF Research Labsの分析によると、攻撃者は悪用の8日前に真新しいウォレットを作成し、一連のマイクロトランザクションを実行して、7種類のトークンを受け取ることができることを確認しました。
攻撃者は、Solanaブロックチェーン上のトランザクションを作成するために耐久性のあるノンスを使用しました。このトランザクションは期限切れになることはなく、その後、攻撃中に使用されたすべてのトランザクションに事前署名して、すべてが迅速に実行されるようにしました。
攻撃の5時間前、ハッカーはDrift管理者キーの制御を獲得しました。このキーはプロトコルの設定を変更することを可能にしました。これはマルチシグで保護されていましたが、Driftは5つのキーホルダーのうち2つだけで変更を承認することを許可しています。
「悪用の5時間前に、引継ぎ署名者が管理者キーの転送を提案しました。新しい署名者のうち1人が1秒以内に共署し、」変更がゼロ秒のタイムロックを持っていたため、すぐに実行されたとPIF Research Labsが説明しています。
偽造市場、偽造トークン、実在する盗難
ハッカーは、強奪の25秒前に、侵害された管理者キーを使用して、20日前に鋳造した無価値なトークンであるCVTの偽造担保市場を作成し、Driftの安全システムを無効化しました。これは、大規模で迅速な資産流出を防ぎます。
市場はCVTパラメータを設定して、偽造トークンの価値を上昇させ、大量供給の預金に対するペナルティを排除し、偽造ポジションの清算インセンティブを排除することによって、可能な限り多くの資金を流出させるように構成されました。
さらに、CVTの層はDriftで最高利用可能に設定され、偽造トークンの借入力を確保し、「オラクル」を使用して無価値なトークンの価値を数億ドルに増加させました。
DeFiプラットフォームの反流出システムを無効化するために、ハッカーはそのサーキットブレーカーを変更しました。これは、ボールトから資産が流出しすぎた場合に引き出しをブロックするように設計されており、500兆に値を上げました。
「偽造市場の作成とサーキットブレーカーの変更は、16:05:39 UTCの単一のオンチェーントランザクションにバンドルされました。25秒後、引き出しが開始されました。兵器化全体は、コーヒーを注文するのにかかる時間より短かった」とPIF Research Labsは指摘しています。
5億CVTを預金してから2秒後、偽造オラクルは1億ドル以上の価値があり、強奪が開始されました。10秒以内に、JLP、USDC、cbBTC、USDS、dSOL、およびwETHからの資金が流出しました。JLPボールトは完全に枯渇しました。
その次に、ハッカーは資金の洗浄を開始しました。資金は攻撃者のウォレットから27台の逃げ場ウォレットに移動され、その後、自動化ボットを使用して57,331個のウォレットアドレスに散らばりました。およそ2億2,500万ドルの資産がEthereumに交換され、3つのウォレットに保存されました。
ボットは34時間以上にわたって仕事を続け、1分あたり590件のトランザクションを実行し、複数のブロックチェーンと中央集約型取引所全体で同時に動作し、資金追跡調査に複雑さを加えました。PIF Research Labsは、34時間以内に860,000件以上のトランザクションが作成されたと述べています。
翻訳元: https://www.securityweek.com/north-korean-hackers-drain-285-million-from-drift-in-10-seconds/
