Drift Protocol потерял $280 млн из-за сложной атаки; признаков кражи мнемоники нет

По данным Huoxing Finance, 2 апреля Drift Protocol сообщил в X, что злоумышленник в течение нескольких недель проводил сложную атаку с использованием durable nonces, получив несанкционированный доступ и оперативно завладев административными полномочиями Security Council. В схеме применялись заранее подписанные транзакции с durable nonce-аккаунтами, что позволяло отложить их исполнение. Предварительное расследование указывает, что инцидент не связан с уязвимостью программы или смарт-контрактов Drift. Признаков компрометации мнемонической фразы нет. По заявлению проекта, атакующий получил разрешения через несанкционированные либо поддельные подтверждения транзакций, не исключается социальная инженерия. В результате было выведено около $280 млн средств протокола. Затронуты все направления: кредитование, депозиты в хранилищах и торговые средства. DSOL (часть, не размещенная в Drift, включая активы, застейканные у валидаторов Drift) не пострадал. Активы страхового фонда также не затронуты и для защиты уже активно выводятся. В качестве меры предосторожности все оставшиеся функции протокола заморожены, а в multisig обновлен состав участников — с исключением скомпрометированных кошельков.