زک‌ایکس‌بی‌تی سرکل را به «خواب بودن» متهم می‌کند زیرا وجوه هک دریفت آزادانه منتقل شد

محقق بلاک چین ZachXBT یک بار دیگر Circle و مدیرعامل آن، جرمی آلیر، را به دلیل بی‌عملی ادعایی در طول سوءاستفاده 280 میلیون دلاری مرتبط با پروتکل Drift مورد انتقاد قرار داد.

او کل این فاجعه را به عنوان تأخیر حیاتی در پاسخ توصیف کرد، زیرا وجوه به طور فعال بین زنجیره‌ها منتقل می‌شدند.

Circle تحت فشار

در پستی در X، ZachXBT گفت که صادرکننده استیبل کوین "در خواب بود" زمانی که میلیون‌ها USDT در طول سوءاستفاده از Solana به بلاک چین اتریوم منتقل شد. در یک به‌روزرسانی جداگانه، او دریافت که انتقال‌ها در حدود 100 تراکنش رخ داده است. او اضافه کرد که "ارزش منتقل شد و هیچ کاری انجام نشد." او همچنین به یک حادثه اخیر مربوط به مسدود شدن بیش از 16 کیف پول تجاری اشاره کرد و رسیدگی Circle را "ناکارآمد" خواند و شرکت و آلیر را به عنوان "بازیگران بد برای صنعت" برچسب زد.

این اتهامات در حالی مطرح شد که چندین تحلیلگر بازار درباره اینکه آیا اقدام سریع‌تر می‌توانست جابجایی وجوه را در طول پنجره سوءاستفاده محدود کند، بحث کردند، به ویژه که حجم زیادی بدون وقفه طی چند ساعت منتقل شده بود.

در همین حال، پروتکل Drift افشا کرد که این حادثه ناشی از یک حمله بسیار هماهنگ و پیچیده بود نه نقص در قراردادهای هوشمند آن. به گفته تیم، یک عامل متقلب از طریق "حمله جدیدی شامل nonce های دائمی" دسترسی غیرمجاز به دست آورد که امکان اجرای تراکنش‌های از پیش امضا شده را بعداً فراهم کرد.

این به مهاجم اجازه داد تا به طور مؤثر تشخیص در زمان واقعی را دور بزند و به سرعت کنترل مجوزهای مدیریتی مرتبط با شورای امنیتی پروتکل را به دست بگیرد. Drift تأیید کرد که سوءاستفاده ناشی از عبارات seed آسیب‌دیده یا آسیب‌پذیری‌های کد نبود، بلکه شامل تأییدیه‌های غیرمجاز یا نادرست بود که احتمالاً از طریق مهندسی اجتماعی به دست آمده بودند. مهاجم تأییدیه‌های چند امضایی 2 از 5 مورد نیاز را به دست آورد و یک انتقال مدیریتی مخرب را در عرض چند دقیقه اجرا کرد. سپس آن‌ها یک دارایی مخرب معرفی کردند و محدودیت‌های برداشت را حذف کردند.

جدول زمانی هک Drift

جدول زمانی به اشتراک گذاشته شده توسط Drift نشان داد که کار پایه برای حمله در اوایل 1403/01/03 با ایجاد حساب‌های nonce دائمی مرتبط با اعضای قانونی چند امضایی و کیف پول‌های تحت کنترل مهاجم آغاز شد. آماده‌سازی‌های اضافی از طریق مهاجرت چند امضایی در 1403/01/07 و فعالیت nonce بیشتر در 1403/01/10 ادامه یافت که منجر به مرحله اجرا در 1403/01/12 شد، زمانی که تراکنش‌های از پیش امضا شده کمی پس از یک تراکنش آزمایشی قانونی فعال شدند.

در پاسخ، Drift عملکردهای باقیمانده پروتکل را مسدود کرد، کیف پول آسیب‌دیده را از چند امضایی حذف کرد و شروع به هماهنگی با شرکت‌های امنیتی، صرافی‌ها و مجریان قانون برای ردیابی و احتمالاً بازیابی دارایی‌های سرقت شده کرد.

پست ZachXBT متهم می‌کند Circle را به "خواب بودن" در حالی که وجوه هک Drift آزادانه منتقل می‌شدند، اولین بار در CryptoPotato منتشر شد.