Эксплуатация, которая меняет все
Всего 72 часа назад крупнейший кредитный протокол Solana, Drift, был опустошен. $285 миллионов пропало.
Не благодаря сложному коду.
Не благодаря гению флеш-займов.
Из-за одного скомпрометированного административного ключа.
Вот что пользователям Binance нужно знать прямо сейчас — потому что та же уязвимость существует в десятках протоколов, которые вы можете использовать.
Как один ключ сломал спину DeFi
Нападающий не взломал смарт-контракты. Они взломали разрешения.
Пошаговый разбор:
1. Нападающий получил административный ключ Drift (метод все еще неизвестен — внутренний утечка? фишинг? вредоносное ПО?)
2. Разместили фейковый токен под названием "CarbonVote Token" (CVT) на Drift
3. Манипулировали ценой CVT на Raydium с $0.0001 до $1
4. Вложили бесполезный CVT в качестве залога
5. Повышенные лимиты на вывод с использованием того же административного ключа
6. Опустошили $285M в USDC, SOL и других реальных активах
Нет кода эксплуатации. Нет ошибок в смарт-контрактах. Только один ключ с слишком большой властью.
Часть, о которой никто не говорит
Circle отказалась замораживать украденный USDC в рабочее время в США.
Эксплуатация произошла в четверг вечером (по времени Азии). К утру пятницы в Нью-Йорке средства уже были перемешаны через мосты. Официальный ответ Circle: "Мы следуем законному процессу, а не панике на рынке."
Перевод: $285M пропало навсегда.
Внутреннее предупреждение Binance — утечка к нам
Меморандум безопасности Binance (поделенный с нашей командой при условии анонимности) теперь предупреждает всех рецензентов листинга о том, чтобы:
"Помечайте любые протоколы, использующие архитектуру с одним административным ключом или не имеющие таймлоков. Сразу добавьте в список высокого риска."
Это первый случай, когда Binance публично признала риск административного ключа как критерий листинга. Ожидайте более быстрых делистингов для протоколов без защит мульти-подписи или таймлоков.
Человеческая цена — История одного трейдера
"Я потерял всю свою позицию. $40,000. Даже предупреждения от Drift не было."
— @SOLwhale_4, пользователь Binance с 2022 года
Drift прошел аудит ClawSecure всего шесть недель назад. Аудит проверял смарт-контракты — не административные разрешения. Различие, которое стоило реальным людям их сбережений.
Ваш план защиты в 3 этапа (прямо сейчас)
Перед тем как торговать или давать в долг на любом DeFi-протоколе, связанном с Binance:
1. Проверьте административные ключи — Ищите "мульти-подпись" или "таймлок" в документах. Один ключ = единственная точка отказа.
2. Проверьте недавний объем аудита — Они проверяли разрешения или только код? Спросите перед депозитом.
3. Установите лимиты на вывод вручную — Если протокол позволяет, ограничьте ежедневные выводы. Это не остановит взлом, но замедлит утечку.
Что будет дальше
· Токен DRIFT — упал на 67% с уровней до взлома. Ликвидность исчезает.
· TVL Solana — Упал на $900M за три дня. Страх распространяется.
· Действие Binance — Ожидайте официального заявления в течение 48 часов. Некоторые проекты Solana могут столкнуться с ускоренным пересмотром листинга.
Наконец:
Взлом Drift не был неудачей кода.
Это была неудача доверия.
Пока протоколы не докажут, что они не могут быть опустошены одним скомпрометированным ноутбуком, относитесь к каждому депозиту так, как будто он может исчезнуть за ночь.
Оставайтесь настороже. Оставайтесь параноидальными. И никогда не предполагайте, что "аудит" означает "безопасно."
#DriftProtocol #Solana #DeFiHack #SecurityAlert #BinanceAlert