Drift Protocol установил ончейн-связи между кошельками, связанными с эксплуатацией уязвимости на 2,8 млрд долларов; неизвестный отправитель оказывает давление на атакующего.

После инцидента с похищением на 280 млн долларов Drift Protocol предпринимает активные действия: через ончейн-связь он ведет переговоры с соответствующими кошельками, задействованными в данной эксплуатации уязвимости, при этом неизвестный отправитель также пытается оказать давление на злоумышленника.

Последние обновления Drift Protocol о развитии уязвимости после эксплуатации:

На базе Solana децентрализованная биржа (DEX) Drift Protocol в прошлую пятницу объявила, что уже ведет переговоры с кошельками, связанными с украденными средствами, участвующими в данном инциденте с эксплуатацией уязвимости. Внешние службы безопасности оценивают, что потери от этой атаки составляют примерно от 280 млн долларов до 286 млн долларов.

Drift заявила на платформе социальной сети X, что установила контакт через ончейн-информацию с кошельками, на которых хранятся украденные Ethereum (ETH), и пытается начать диалог. Команда Drift через адрес Ethereum (0x0934faC) отправила ончейн-сообщения четырем кошелькам, связанным с атакой на данный момент, призывая их наладить связь через Blockscan Chat. Drift заявила: «Мы уже готовы к разговору».

Ончейн-сообщения стали распространенным способом реагирования на эксплуатацию уязвимостей: они позволяют протоколу напрямую общаться с атакующим при сохранении анонимности. В некоторых прошлых инцидентах, например в случае взлома Euler Finance, подобные ончейн-коммуникации помогли вернуть часть похищенных средств.

Ончейн-сообщение, отправленное Drift:

Ончейн-сообщения, которые Drift отправила злоумышленникам, как показано на рисунке, пытаются справиться с этим кризисом. Источник: Etherscan.

Давление со стороны анонимного отправителя:

Усилия Drift происходили через несколько часов после этого: ранее неизвестный отправитель, известный как readnow.eth, также связался с кошельками, связанными с атакующим, с помощью ончейн-сообщений. Этот отправитель утверждал, что знает истинную личность, стоящую за атакой, и потребовал 1000 Ethereum (ETH) в качестве условия в обмен на обещание больше не раскрывать эту информацию.

На данный момент эти сообщения нельзя независимо проверить; это может быть попытка злоумышленника ввести в заблуждение ложной информацией или оказать давление на владельцев кошельков. Этот инцидент также показывает, что после криптовалютной эксплуатации уязвимостей, помимо официально опубликованных заявлений, на блокчейне распространяются неподтвержденные сообщения, вызывая ненужную суматоху.

Отголоски в экосистеме Solana распространяются:

Согласно отчету SolanaFloor, на данный момент инцидент с эксплуатацией уязвимости Drift Protocol затронул как минимум 20 протоколов Solana, включая децентрализованную платформу DeFi Gauntlet; оценка объема затронутых средств уже достигла 6,4 млн долларов.

Платформа безопасности блокчейна Cyvers заявила, что по состоянию на пятничное утро масштаб воздействия продолжает расти, и спустя 48 часов после атаки не удалось вернуть ни одного похищенного средства. Cyvers также отметила, что эта атака может быть «поэтапной серией действий, рассчитанной на несколько недель», и что злоумышленник заранее — за несколько дней до момента эксплуатации уязвимости — настроил в Solana функцию durable nonces; эта функция позволяет пользователям заранее подписывать транзакции, которые будут выполнены в будущем.

Cyvers добавила: «Это крайне похоже на модель атаки, наблюдаемую при взломе Bybit: методы разные, но основная причина одна и та же — подписант одобрил вредоносную транзакцию, не зная об этом».

Представители отрасли, включая технического директора Ledger Чарльза Гийемэ (Charles Guillemet), считают, что в этой эксплуатации уязвимости могли быть задействованы действующие лица, связанные с Северной Кореей, однако в настоящее время эти предположения не подтверждены.