Drift сказав, що витривалі нонси допомогли здійснити атаку на Solana, оскільки критики запитували, чому вкрадені USDC рухалися протягом годин без заморожування.
Протокол Drift, децентралений біржовий майданчик (DEX) на основі Solana, підтвердив у четвер, що став жертвою атаки на суму близько 280 мільйонів доларів, описавши її як “високоскладну операцію”. Платформа використала X, щоб поділитися своїми висновками з попереднього розслідування, кажучи, що атакувальники використали витривалі нонси Solana, механізм, який дозволяє здійснювати попередньо підписані транзакції, щоб захопити контроль і висушити фонди. Протокол раніше заявив, що переживає активну атаку і призупинив депозити та виведення коштів під час координації з компаніями з безпеки, містами та біржами.
Атака розпочалася у середу, а крадіжка включала кілька активів, у тому числі USDC компанії Circle (USDC) та різні альткоїни. Дані ланцюга пізніше показали, що експлуататор обміняв більшу частину активів на USDC, а фонди пізніше були переміщені на Ethereum.
Цей інцидент привернув увагу не тільки через те, що він, схоже, включає в себе зловживання законною функцією транзакції Solana, а не просту відмову розумного контракту, але також через те, як фонди рухалися між ланцюгами протягом годин без заморожування, що викликає питання про втручання централізованих емітентів стейблкоїнів.
Витривалі нонси Solana – це унікальна функція, яка дозволяє транзакціям обходити певні вікна закінчення дії та дозволяє користувачам підписувати транзакції для майбутньої реалізації, офлайн-підпису або складних багатопідписних робочих процесів.
Drift сказав, що атакувальник використав транзакції на основі витривалих нонсів та попередньо підписаних транзакцій, щоб отримати несанкціонований адміністративний доступ та виконувати зловмисні дії швидко після подання.
Витривалі нонси не були широко пов’язані з великими експлуатаціями самостійно, але розробники відзначили, що функції, які дозволяють відкладену реалізацію, можуть вводити складність та потенційні ризики, якщо їх неправильно використовувати або поєднувати з іншими уразливостями.
Цей інцидент викликав критику емітента USDC компанії Circle, оскільки атакувальник витратив кілька годин на обмін 270 мільйонів доларів на стейблкоїн, перш ніж перемістити їх на Ethereum.
Ончейн-слідчий ZachXBT та інші заявили, що компанії було至少 шість годин, щоб заморозити фонди, але вони цього не зробили, контрастуючи реакцію з попередніми випадками, коли гаманці були чорнілісти.
Деякі фігури галузі вказали на розрив між можливістю компанії Circle заморозити фонди та будь-якою обов’язковістю зробити це.
«Компанія Circle могла б заморозити їх. Але вони не зобов’язані це робити», – написав псевдонімний користувач Molu на X, додавши, що запропоновані нормативні рамки, такі як законопроект GENIUS, можуть змінити цю динаміку, вимагаючи втручання згідно з остаточними правилами.
Пов’язано: Balancer Labs закриває роботу через 4 місяці після експлуатації на суму понад 100 мільйонів доларів, протокол продовжить роботу Цей інцидент став ще одним випадком у тривалій дискусії про втручання централізованих платформ під час атак, з повторюваною критикою компанії Circle з боку ZachXBT щодо цього питання.
Розслідувач раніше запитував реакцію компанії Circle щодо USDC, пов’язаного з хаком на Bybit наприкінці лютого, що спровокувало відповідь генерального директора компанії Circle Джеремі Аллера, який сказав, що компанія діє на запит правоохоронних органів перед заморожуванням коштів.
Журнал: Ніхто не знає, чи буде працювати квантово-безпека криптографії
За матеріалами CoinTelegraph