A entidade de segurança em cadeias SlowMist publicou, a 2 de abril, uma análise técnica, revelando as condições-chave que antecederam o incidente de roubo do Drift Protocol: cerca de uma semana antes do ataque, o Drift ajustou o mecanismo de multisig e não definiu, em paralelo, qualquer proteção por time lock. O atacante, em seguida, obteve permissões de administrador, forjou os tokens CVT, manipulou o oracle (oráculo) e desativou o módulo de segurança, extraindo de forma sistemática ativos de elevado valor a partir do pool de fundos.
SlowMist reconstrói os sinais prévios do ataque: a alteração do multisig sem time lock é a falha central
(Fonte: SlowMist)
A análise da SlowMist revelou o ponto prévio mais preocupante deste ataque: cerca de uma semana antes do roubo, o Drift ajustou o mecanismo de multisig para o modo «2/5», sem configurar qualquer time lock, e introduziu 4 novos signatários.
O time lock é um complemento de segurança necessário para o desenho do multisig num protocolo. Define um período de espera obrigatório (normalmente 24-48 horas ou mais) antes da execução de alterações de configuração de alto risco. Isto dá à comunidade e às entidades de segurança tempo suficiente para detetar anomalias e intervir. A ausência de time lock significa que, caso a chave privada dos novos signatários seja roubada ou controlada de forma maliciosa, o atacante pode executar imediatamente operações de nível de administrador, sem qualquer margem de espera.
A alteração da arquitetura do multisig ocorrida uma semana antes do roubo (introduzindo 4 novos signatários) é, do ponto de vista temporal, extremamente suspeita, sendo o ponto de alerta mais observado na presente análise de segurança.
Reconstrução dos passos do ataque: da divulgação de credenciais de administrador aos 105,969 ETH roubados
De acordo com a análise técnica da SlowMist, após obter o controlo de administrador, o atacante executou de forma sistemática a limpeza de ativos pelos seguintes passos:
Forjar tokens CVT: forjar tokens falsos internamente no protocolo, contornando a lógica normal de validação de ativos
Manipular o oracle (Oráculo): alterar a fonte de preços externa do protocolo, distorcendo a precificação on-chain e criando condições favoráveis para a extração subsequente
Desativar mecanismos de segurança: desligar os módulos incorporados de controlo de risco e restrições de segurança no protocolo, eliminando obstáculos para a extração de ativos
Transferir ativos de elevado valor: extrair de forma sistemática ativos com elevada liquidez do pool de fundos, concluindo a limpeza final de ativos
Neste momento, os fundos roubados foram maioritariamente agregados em endereços da Ethereum, totalizando cerca de 105,969 ETH (aprox. 226 milhões de dólares). A SlowMist indica que a direção desses fundos ainda está a ser rastreada.
ZachXBT aponta Circle: fortes críticas da indústria por USDC não ter sido congelado durante horas
O detetive on-chain ZachXBT lançou, no mesmo dia, fortes críticas à Circle. Ele afirmou que, no período de negociação dos EUA durante o roubo do Drift, centenas de milhares de dólares em USDC foram encaminhados via um protocolo cross-chain, passando pela ponte entre Solana e Ethereum, e que todo o processo «durou várias horas sem qualquer intervenção», sendo que as quantias já tinham sido totalmente transferidas quando a Circle «mais uma vez não tomou quaisquer medidas».
ZachXBT revelou também outro problema anterior da Circle: a Circle congelou por engano mais de 16 carteiras “hot” de equipas comerciais, e o processo de desbloqueio ainda está em curso até hoje. Ele apontou o CEO da Circle, Jeremy Allaire, afirmando que o desempenho da Circle teve um impacto negativo em toda a indústria cripto.
Esta acusação desencadeou um amplo debate na indústria sobre que tipo de responsabilidade proativa os emissores de stablecoins devem assumir em eventos de segurança.
Perguntas frequentes
Por que é que a falta de time lock na alteração do multisig foi o problema central neste ataque?
O time lock é um complemento de segurança fundamental do multisig. Estabelece um período de espera obrigatório antes da execução de operações com permissões elevadas, dando tempo para a comunidade e as entidades de segurança detetarem anomalias e tomarem medidas. O Drift, ao ajustar a arquitetura do multisig, não definiu time lock; isto significa que, se as credenciais dos novos signatários forem comprometidas, o atacante pode executar imediatamente ações de administrador, contornando a última linha de defesa da supervisão comunitária. O timing da alteração que introduziu 4 novos signatários uma semana antes do roubo é a dúvida mais observada na investigação atual.
Que responsabilidade deveria a Circle assumir neste evento?
As críticas de ZachXBT apontam para a falta de monitorização e intervenção imediatas por parte da Circle durante a transferência massiva de USDC via cross-chain. Como emissora do USDC, a Circle tem, tecnicamente, capacidade de congelar os endereços envolvidos, mas não tomou qualquer medida durante o processo de transferência de fundos que durou várias horas. Esta controvérsia toca nos limites da responsabilidade de intervenção proativa dos emissores de stablecoins em eventos de segurança na DeFi, sendo um dos temas centrais mais discutidos na indústria atualmente.
Qual é o significado técnico da combinação de forjar tokens CVT e manipular o oracle?
O forjamento de tokens CVT permite ao atacante fabricar liquidez ou garantias falsas internamente no protocolo; a manipulação do oracle faz com que o protocolo utilize dados de mercado distorcidos ao definir preços. Juntas, estas ações fazem com que o protocolo «acredite» que existe suporte de garantia suficiente, permitindo ao atacante extrair ativos muito além do que seria devido. Trata-se de uma técnica clássica em ataques a smart contracts, que aparece em vários casos de roubos na DeFi.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Hack do Kelp DAO Atribuído ao Grupo Lazarus; Domínio da eth.limo Sequestrado via Engenharia Social
A LayerZero informou que o exploit do Kelp DAO, atribuído ao grupo Lazarus da Coreia do Norte, levou a uma perda de $292 milhões em tokens rsETH devido a vulnerabilidades em sua rede de verificador descentralizado. Além disso, a eth.limo enfrentou um sequestro de domínio decorrente de um ataque de engenharia social, mas o DNSSEC mitigou danos severos.
GateNews2h atrás
Hack DeFi provoca $9 bilhões em saídas do Aave à medida que tokens roubados são usados como garantia
Um hack recente que drenou quase $300 milhões de um projeto de criptomoedas levou a uma crise de liquidez no Aave, fazendo com que os usuários retirassem cerca de $9 bilhões. Preocupações com a qualidade das garantias levaram a retiradas em massa, destacando riscos no empréstimo DeFi.
GateNews3h atrás
Ataque de Phishing no Ethereum Drena $585K De Quatro Usuários, Uma Única Vítima Perde $221K WBTC
Um ataque coordenado de phishing no Ethereum drenou US$ 585.000 de quatro vítimas, explorando permissões do usuário por meio de um link enganoso. Este incidente destaca a perda rápida de fundos via engenharia social, mesmo sob a aparência de legitimidade.
GateNews5h atrás
Atenção ao conteúdo da assinatura! A Vercel foi alvo de ransomware por US$ 2 milhões; o alerta é acionado para a segurança do front-end de um protocolo cripto
A plataforma de desenvolvimento em nuvem Vercel sofreu uma invasão de hackers em 19 de abril; os atacantes obtiveram acesso por meio de uma ferramenta de IA de terceiros usada pelos funcionários e ameaçaram extorquir 2 milhões de dólares. Embora dados sensíveis não tenham sido acessados, outros dados podem já ter sido explorados. O incidente gerou preocupações de segurança na comunidade cripto; a Vercel está atualmente conduzindo uma investigação e recomendando que os usuários troquem as chaves.
ChainNewsAbmedia6h atrás
O KelpDAO perde $290M no ataque da camada Lazarus Group LayerZero
O KelpDAO enfrentou uma perda de $290 milhões devido a uma violação de segurança sofisticada ligada ao Grupo Lazarus. O ataque explorou fraquezas de configuração em seu sistema de verificação e destacou os riscos de depender de uma configuração de verificação em ponto único. Especialistas do setor enfatizam a necessidade de aprimorar as configurações de segurança e de usar verificações em múltiplas camadas para impedir incidentes futuros.
CryptoFrontier7h atrás
LayerZero responde ao evento de US$ 292 milhões do Kelp DAO: indica que a Kelp configurou um DVN 1-de-1 de escolha própria, e o invasor é o Lazarus da Coreia do Norte
LayerZero emitiu um comunicado sobre o ataque ao Kelp DAO que causou prejuízos de US$ 292 milhões, acusando que a escolha do Kelp por uma configuração DVN 1-of-1 personalizada tornou o incidente possível, e que o atacante foi o grupo Lazarus da Coreia do Norte. A LayerZero enfatizou que este caso decorre de decisões de configuração e que não dará mais suporte a esse tipo de configuração vulnerável. Além disso, ainda há controvérsia sobre a responsabilização, sem que seja apresentado um plano de reembolso.
ChainNewsAbmedia7h atrás
