Drift Protocol 对 Solana 的 2.85 亿美元攻击引发了人们对 DeFi 安全性的质疑

简而言之

研究人员和专家正在仔细研究 Drift 的设计，质疑某些设计功能或程序是否能够阻止其价值 2.85 亿美元的攻击。

SVRN 首席运营官 David Schwed 表示，这一事件表明有多少 DeFi 项目将技术安全置于网络安全卫生之上。

旁观者认为，“时间锁”会让 Drift 有机会介入并阻止攻击者吸走资金。

当数百万美元的加密货币从去中心化金融协议中被盗走时，棘手的问题往往会随之而来——周三 Drift Protocol 的 2.85 亿美元漏洞也不例外。

随着研究人员和专家仔细研究其设计，基于 Solana 的项目已成为人们关注的焦点，引发了人们的疑问：某些设计功能或程序是否可以阻止某人实施最近最有利可图的 DeFi 攻击之一。

Drift 在 X 上的一篇帖子中表示，恶意行为者通过“新颖的攻击”获得了对其平台的未经授权的访问，该攻击授予了 Drift 所谓的安全委员会的管理权力。他们补充说，这次攻击可能涉及某种程度的“复杂的社会工程”。

这起盗窃案是 DeFi 近代历史上规模最大的盗窃案之一，其关键在于在去中心化交易所引入虚假数字资产并修改平台的提款限额。在夸大恶意代币的价值后，攻击者获得了通过滥用借贷机制迅速耗尽 Drift 真实流动性的能力。

区块链情报公司 Elliptic 在周四的一份报告中表示，有迹象表明该漏洞与朝鲜民主主义人民共和国有关。他们指出了攻击者的链上行为、洗钱方法和网络级指标。

由于用户存款受到影响，并且协议被冻结作为预防措施，旁观者也将注意力集中在 Drift 设计的核心元素上：多重签名钱包，其中由两个私钥生成的签名使攻击者能够获得广泛的权力。

SVRN 首席运营官兼区块链安全专家 David Schwed 表示，多重签名钱包代表了许多 DeFi 项目的中心化点，该事件暴露了一个令人不安的现实，即智能合约审计只能防止如此大的损害。

他告诉 Decrypt，Drift 已经成为寻求用代码取代金融中介的服务经常依赖小团队和中心化点（例如存在网络安全风险的多重签名钱包）的最新例子。

“今天所有的工程师都专注于安全的技术方面，他们并不关注流程中的人员，”他说。 “所以，是的，该协议是去中心化的，但它的治理是集中于五个人的。”

“再一次”

Schwed 将 Drift 的安全漏洞与最臭名昭著的 DeFi 黑客攻击之一进行了比较，其中价值超过 6.25 亿美元的数字资产在 2022 年被与朝鲜有关的黑客窃取。他们的目标是 Ronin，这是为热门 NFT 游戏 Axie Infinity 开发的以太坊侧链。据区块链安全公司 Chainaanalysis 称，此次攻击依赖于获取五个私钥。

虽然区块链分析师看到了民族国家的指纹，但其他人认为攻击的精确性表明对协议有更深入的了解。 Schwed 怀疑与朝鲜有关的黑客参与了针对 Drift 的黑客攻击，因为感觉攻击者（可能是内部人士）“知道要针对谁”。

旁观者猜测，“时间锁”可能会阻止攻击如此迅速地发生。智能合约功能会限制交易的执行或资金的获取，直到达到未来的特定时间，这可能为 Drift 团队提供介入的窗口。

Oak Security 管理合伙人 Stefan Byer 告诉 Decrypt：“时间锁有助于赢得时间来应对此类攻击，并且在这里会有所帮助，但这不是根本原因。” “最大的问题是，特权密钥再次被泄露。”

尽管如此，Neo Blockchain 创始人兼董事长 Dan Hongfei 认为，像 Drift 这样拥有数百万美元资金的协议不应该立即耗尽。

在 X 上的一篇帖子中，他表示必须强制执行与列出高风险资产等关键操作相关的时间锁定，以“防止攻击者在几秒钟内完成整个漏洞利用链”。

加密安全基础设施提供商 Venn Network 的创始人 Or Dadosh 也表达了同样的观点。他还指出了自动断路器，如果超出异常的流出速度或流量阈值，该断路器使项目能够立即暂停操作。

几位安全专家打赌，Drift 不会是最后一个遭受周三发生的攻击的 DeFi 项目。他们指出，不良行为者越来越多地转向人工智能，利用算法来全面了解他们的下一步行动