利便性を追求して設計されたSolanaの機能が、攻撃者によりDriftから2億7,000万ドル以上の資金を流出させる事態を招いた仕組み

Drift Protocol に対する攻撃は、従来の意味でのハッキングではありませんでした。

バグの発見やプライベートキーの解析はありませんでした。フラッシュローンの悪用やオラクルの操作もありませんでした。

代わりに、攻撃者は正当なSolanaの機能である「durable nonces」を利用し、Driftのセキュリティ委員会を騙して数週間後に実行される取引を事前承認させました。これにより、署名者が意図していなかった時期および状況で取引が行われることになりました。

この結果、実行に1分かからないものの、準備に1週間以上を要した、少なくとも2億7,000万ドルの資金流出が発生しました。

耐久性のあるノンスとは何か、そしてそれが存在する理由

Solanaにおいて、すべての取引は「recent blockhash」を含んでいます。これは、取引が最近作成されたことを証明するタイムスタンプに相当します。そのblockhashは約60秒から90秒で有効期限が切れます。取引がその時間内にネットワークに提出されない場合、取引は無効となります。これは安全機能であり、古くて期限切れの取引が後で再実行されるのを防ぐ役割を果たしています。

耐久性のあるナンスは、その安全機能を無効にします。これにより、有効期限が切れるブロックハッシュの代わりに、特別なオンチェーンアカウントに保存された固定の「ナンス」（一度きりのコード）が用いられ、誰かが取引を提出するまでその取引が無期限に有効な状態を保ちます。

この機能は正当な理由に基づいて存在しています。ハードウェアウォレット、オフライン署名の設定、そして機関投資家向けのカストディソリューションは、取引を準備・承認する際に90秒以内に送信を強制されることなく、その能力を必要としています。

しかし、無期限に有効なトランザクションは問題を引き起こします。もし誰かが今日トランザクションに署名させることができれば、システムのハードコードされたルールに従って、それは来週や来月に実行される可能性があります。署名者は一度承認を与えると、それを取り消す方法がなく、ノンスアカウントを手動で進めない限り、その状況は変わりませんが、ほとんどのユーザーはこれを監視していません。

攻撃者がそれらをどのように利用したか

Driftのプロトコルは「セキュリティ・カウンシル・マルチシグ」によって管理されており、これは複数の人物（本件では5名）が共同で権限を保有し、いかなる行動も少なくとも2名の承認が必要とされる仕組みです。マルチシグはDeFiにおける標準的なセキュリティ手法であり、一人が侵害されただけでは資金の盗難を防ぐことを目的としています。

しかし、攻撃者は誰の鍵も侵害する必要はありませんでした。必要だったのは二つの署名だけであり、これらはDriftが「無許可または誤認された取引承認」と表現する方法で取得したと見られています。つまり、署名者は通常の取引を承認していると考えていた可能性が高いのです。

以下は、Driftがにて公開したタイムラインです木曜日のX投稿.

3月23日、4つの耐久性のあるナンスアカウントが作成されました。そのうち2つは正当なDriftセキュリティ評議会メンバーに関連しており、残りの2つは攻撃者によって管理されていました。これは、攻撃者がすでに評議会メンバー5人のうち2人から有効な署名を取得しており、それらの署名が期限切れとならない耐久ナンストランザクションに固定されていることを意味します。

3月27日、Driftは計画されたセキュリティカウンシルの移行を実施し、メンバーの入れ替えを行いました。攻撃者はこれに適応しました。3月30日までに、新たな耐久性のあるノンスアカウントが現れ、更新されたマルチシグのメンバーに紐付けられており、攻撃者が新しい構成下で必要な5人中2人の承認閾値を再取得したことを示しています。

4月1日に攻撃者が実行を行った。

まず、Driftは保険基金からの正当なテスト引き出しを実施しました。約1分後、攻撃者は事前署名された耐久性のあるナンス取引を送信しました。ソラナブロックチェーン上で4スロット間隔の2つの取引が、悪意のある管理者移転を作成・承認し、その後承認・実行するのに十分でした。

数分以内に、攻撃者はDriftのプロトコルレベルの権限を完全に掌握しました。彼らはその権限を利用して、不正な出金メカニズムを導入し、資金庫を枯渇させました。

何が奪われ、どこに流れたのか

オンチェーンの研究者たちは資金の流れをリアルタイムで追跡しました。セキュリティ研究者のVladimir S.によってまとめられた盗難資産の内訳は、数十種類のトークンにわたり、総額約2億7,000万ドルに上りました。

最大の単一カテゴリーは1億5,560万ドル相当のJPLトークンであり、次いで6,040万ドルのUSDC、1,130万ドルのCBBTC（Coinbaseラップドビットコイン）、565万ドルのUSDT、470万ドルのラップドイーサ、450万ドルのDSOL、440万ドルのWBTC、410万ドルのFARTCOIN、そのほかJUP、JITOSOL、MSOL、BSOL、EURCなどにわずかな金額が分散していました。

主要な資金流出ウォレットは、攻撃の8日前にNEAR Protocolのインテントを通じて資金が供給されましたが、実行日までは非アクティブのままでした。盗まれた資金は、前日に分散型暗号交換所であり本人確認を要するBackpackを通じて資金供給された仲介ウォレットに送金されており、これが捜査の手がかりとなる可能性があります。

そこから、資金はクロスチェーンブリッジであるWormholeを介してイーサリアムのアドレスに移動しました。これらのイーサリアムアドレスは、制裁対象のプライバシーミキサーであるTornado Cashを使用して事前に資金が供給されていました。

著名なオンチェーン調査者であるZachXBT、注目された Circle の CCTP（クロスチェーン・トランスファー・プロトコル）を通じて、Solana から Ethereum へ USDC 約2億3,000万ドルが100件以上の取引でブリッジされたことが確認されました。

彼は、米東部時間の正午ごろに攻撃が始まってからの約6時間の間に、盗まれた資金を凍結しなかった中央集権的なUSDC発行者であるCircleを批判した。

今回の攻撃は、によると、以前に見られたものと類似した手法を用いた最近のソーシャルエンジニアリングの試みをも彷彿とさせます。ソーシャルメディア投稿「Temmy」というユーザーによると、「私たちはこれを以前にも見てきました。何度も見てきたのです」と述べました。

"bybit。14億ドル。攻撃者は署名インフラを侵害し、署名者を騙して悪意のある取引を承認させました。同じ概念です。ソーシャルエンジニアリング。コードではありません。roninブリッジ。6億2500万ドル。バリデーターキーが侵害されました。同じ話です。cetusプロトコル。2億2300万ドル。方法は異なりますが結果は同じです。数億ドルが失われました。" と投稿は述べています。

何が妥協されなかったか

失敗したのはマルチシグ周辺の人的要素でした。耐久性のあるノンスにより、攻撃者は承認の瞬間と実行の瞬間を１週間以上も分離させることができ、署名された文書の文脈が使用された文脈と一致しなくなるギャップを生み出しました。

Driftの借入・貸出商品、ボールト預金、および取引資金へのすべての入金が影響を受けています。Driftに預けられていないDSOLトークン、Driftバリデーターにステークされている資産を含むものは影響を受けません。保険基金資産は引き出され、安全に保護されています。プロトコルは凍結されており、侵害されたウォレットはマルチシグから削除されています。

このように、これは最近数ヶ月の間に発生した3回目の主要なエクスプロイトであり、コードの脆弱性は関与していません。スマートコントラクトのバグではなく、ソーシャルエンジニアリングや運用上のセキュリティの失敗が、DeFiプロトコルから資金が流出する主な原因となりつつあります。

耐久性のあるノンスベクターは特に危険です。なぜなら、これは正当な理由で存在する機能を悪用しており、Solanaにおけるマルチシグ承認の仕組みを根本的に変更しない限り防御が困難だからです。

Driftの今後の詳細な事後解析が答える必要のある未解決の課題は、二人の異なるマルチシグメンバーが理解していないトランザクションをどのように承認したのか、そして耐久性のあるノンス（nonce）トランザクションが追加の精査を必要とすることを警告できるようなツールまたはインターフェースの変更があったかどうか、という点です。

続きを読む：北朝鮮のハッカーが2億8600万ドルのDrift Protocolの脆弱性を突いた可能性が高い