Kau pikir ini aman, sebenarnya sudah menjadi mesin penarikan mereka.
Saudara-saudara, semalam ada ledakan besar lagi. Drift Protocol dicuri lebih dari 200 juta dolar! Ini bukan proyek sembarangan, ini adalah protokol DeFi yang terkenal dalam ekosistem Solana.
Masalahnya ada di mana?
Saya melihat laporan teknis, merinding. Seminggu yang lalu mereka mengubah kontrak dari multisign yang lama menjadi "multisign 2/5, dan tidak ada timelock". Apa artinya? Artinya, dari 5 orang, jika 2 orang setuju, mereka bisa langsung mengubah kontrak dan mengakses dana, tanpa ada waktu jeda. Yang lebih mencengangkan, dari 5 orang ini, 1 adalah penandatangan lama, dan 4 adalah yang baru.
Kemudian penyerang mengambil alih hak admin dalam beberapa jam, dan selanjutnya menjadi mudah—mencetak koin palsu, memanipulasi oracle, menonaktifkan mekanisme keamanan, dan menguras aset di dalam kolam. Satu set operasi mengalir lancar, lebih cepat dari memesan makanan.
Dengan kata yang kurang menyenangkan: ini seperti memberi tahu 5 orang tentang kata sandi brankas, lalu mengatakan "selama 2 orang setuju, pintu bisa dibuka", hasilnya salah satu dari mereka dibobol, atau bisa jadi ada penghianat, maka brankas ini tidak terbuka lebar?
Bagaimana cara kita sebagai pemain biasa menghindari jebakan?
Pertama, jika melihat proyek "multi-signature configuration" yang tidak memiliki "timelock", langsung blacklist. Multi-signature tanpa periode penyangga sama dengan tidak ada mekanisme keamanan.
Kedua, jangan terlalu percaya pada "proyek besar, ekosistem bagus". Drift di Solana bisa dibilang yang teratas, tetapi tetap saja mengalami masalah. Di dunia kripto, hak akses kode jauh lebih penting daripada ketenaran proyek.
Ketiga, jangan pernah meletakkan semua uang dalam satu keranjang. Baik itu CEX atau DeFi, penyimpanan yang terdiversifikasi adalah satu-satunya cara untuk melindungi diri dari "black swan".
Dari 200 juta dolar yang hilang dalam serangan ini, saya tidak tahu berapa banyak uang hasil jerih payah orang-orang. Saya hanya bisa mengatakan: di dunia kripto, keamanan tidak bergantung pada kepercayaan, tetapi pada kode dan mekanisme.