Drift Protocol і гаманці, пов’язані з використанням уразливості на 2,8 млрд доларів, встановлюють ончейн-зв’язки; невідомий відправник тисне на атакувальника

Після інциденту із викраденням 280M доларів Drift Protocol вживає активних заходів: через ланцюгові звернення комунікує із відповідними гаманцями, які причетні до експлуатації цієї вразливості, а також невідомий відправник намагається чинити тиск на атакувальників.

Останні оновлення від Drift Protocol щодо подальших подій після використання вразливості:

На основі децентралізованої біржі (DEX) на Solana Drift Protocol у минулу п’ятницю оголосив, що розпочав спілкування з гаманцями, пов’язаними з викраденими коштами в межах цього інциденту з експлуатацією вразливості. Зовнішні служби безпеки оцінили, що сума збитків у цій атаці становить приблизно від 280M доларів до 286M доларів.

У соціальній мережі X Drift заявив, що налагодив контакт із гаманцями, які володіють викраденими ефіром (ETH), через ланцюгові повідомлення, і намагався розпочати діалог. Команда Drift надіслала ланцюгові повідомлення чотирьом гаманцям, пов’язаним із атакувальником станом на сьогодні, використовуючи адреси Ethereum (0x0934faC), закликаючи їх встановити контакт через Blockscan Chat. Drift заявив: «Ми готові до діалогу».

Ланцюгові повідомлення стали поширеним способом реагування на експлуатацію вразливості: вони дозволяють протоколу напряму спілкуватися з атакувальником, зберігаючи анонімність. У деяких минулих випадках, таких як інцидент із хакерською атакою Euler Finance, подібні ланцюгові комунікації сприяли поверненню частини викрадених коштів.

Ланцюгові повідомлення, надіслані Drift:

Ланцюгове повідомлення, яке Drift надіслав експлуататору вразливості, як показано на зображенні, спрямоване на те, щоб подолати цю кризу. Джерело: Etherscan.

Тиск від анонімного відправника:

Зусилля Drift відбулися через кілька годин після того, як раніше невідомий відправник із іменем readnow.eth також зв’язався з гаманцями, пов’язаними з атакувальниками, через ланцюгові повідомлення. Відправник стверджував, що він/вона знає реальну особу, яка стоїть за цією атакою, і вимагав(ла) 1000 ETH як умову для обміну, пообіцявши більше не розкривати ці відомості.

На цей момент ці повідомлення неможливо незалежно підтвердити; можливо, атакувальник намагається ввести в оману неправдивою інформацією або чинити тиск на власників гаманців. Ця подія також показує: після хакерських експлуатацій у сфері криптовалют, окрім офіційних заяв, на блокчейні поширюються непідтверджені повідомлення, що спричиняє непотрібну плутанину.

Поширення відлуння в екосистемі Solana:

Згідно зі звітом SolanaFloor, інцидент із експлуатацією вразливості Drift Protocol наразі зачепив принаймні 20 протоколів Solana, серед яких децентралізована платформа фінансових послуг (DeFi) Gauntlet; за оцінками, обсяг коштів, яких це торкнулося, вже досяг 6,4 млн доларів.

Платформа безпеки блокчейнів Cyvers заявила, що станом на ранок п’ятниці вплив усе ще розширюється, і через 48 годин після атаки не було повернуто жодного викраденого кошту. Cyvers також зазначила, що ця атака може бути «покроковою операцією, яка триватиме кілька тижнів», і що атакувальник ще за кілька днів до експлуатації налаштував у Solana функцію durable nonces. Ця функція дає змогу користувачам завчасно підписувати транзакції, які будуть виконані в майбутньому.

Cyvers додала: «Це дуже схоже на модель атаки під час інциденту з хакерською атакою на Bybit: хоча методи різні, фундаментальна причина однакова — підписант(и) без відома погодилися на зловмисні транзакції».

Профільні спостерігачі, зокрема технічний директор Ledger Чарльз Гійемe (Charles Guillemet), вважають, що ця експлуатація вразливості може стосуватися акторів, пов’язаних із Північною Кореєю, однак наразі ці припущення не підтверджені.