Hoe een voor gebruiksgemak ontworpen functie van Solana aanvallers in staat stelde meer dan $270 miljoen van Drift af te tappen

De aanval op Drift Protocol was geen hack in de traditionele zin.

Niemand vond een bug of kraakte een privésleutel. Er was ook geen sprake van een flashloan-exploit of een gemanipuleerde oracle.

In plaats daarvan maakte een aanvaller gebruik van een legitieme Solana-functie, 'duurzame nonces', om de beveiligingsraad van Drift te misleiden en transacties vooraf goed te keuren die weken later zouden worden uitgevoerd, op een tijdstip en in een context die de ondertekenaars nooit hadden bedoeld.

Het resultaat was een onttrekking van minimaal $270 miljoen die in minder dan een minuut werd uitgevoerd, maar meer dan een week voorbereiding vereiste.

Wat duurzame nonces zijn en waarom ze bestaan

Op Solana bevat elke transactie een 'recent blockhash', in feite een tijdstempel dat bewijst dat de transactie recent is aangemaakt. Die blockhash verloopt na ongeveer 60 tot 90 seconden. Als de transactie niet binnen dat tijdsbestek aan het netwerk wordt aangeboden, wordt deze ongeldig. Dit is een veiligheidsmaatregel die helpt voorkomen dat oude, verouderde transacties later opnieuw worden afgespeeld.

Duurzame nonces overschrijven die veiligheidsfunctie. Zij vervangen de expirerende blockhash door een vaste 'nonce', een eenmalige code die wordt opgeslagen in een speciaal onchain-account, waardoor de transactie onbeperkt geldig blijft totdat iemand ervoor kiest deze in te dienen.

De functie bestaat om legitieme redenen. Hardware wallets, offline ondertekeningsopstellingen en institutionele bewaring oplossingen hebben allemaal de mogelijkheid nodig om transacties voor te bereiden en goed te keuren zonder gedwongen te worden deze binnen 90 seconden in te dienen.

Maar transacties die onbeperkt geldig zijn, creëren een probleem. Als iemand vandaag een handtekening op een transactie kan laten zetten, kan deze volgende week of volgende maand worden uitgevoerd, volgens de hardgecodeerde regels van het systeem. De ondertekenaar heeft geen mogelijkheid om zijn goedkeuring in te trekken zodra deze is gegeven, tenzij het nonce-account handmatig wordt verhoogd, wat de meeste gebruikers niet bijhouden.

Hoe de aanvaller ze gebruikte

Het protocol van Drift werd beheerd door een 'Security Council multisig', een systeem waarin meerdere personen (in dit geval vijf) de controle delen, en elke actie minimaal door twee van hen moet worden goedgekeurd. Multisigs zijn een standaardbeveiligingspraktijk in DeFi, waarbij het idee is dat het compromitteren van één persoon niet voldoende is om middelen te stelen.

Maar de aanvaller hoefde de sleutels van niemand te compromitteren. Alles wat ze nodig hadden waren twee handtekeningen, en het lijkt erop dat ze deze hebben verkregen via wat Drift beschrijft als "ongeautoriseerde of verkeerd voorgestelde transactiegoedkeuringen," wat betekent dat de ondertekenaars waarschijnlijk dachten dat ze een routinematige transactie goedkeurden.

Hier is de tijdlijn die Drift heeft gepubliceerd in een donderdag X-bericht.

Op 23 maart werden vier duurzame nonce-accounts aangemaakt. Twee waren gekoppeld aan legitieme leden van de Drift Security Council. Twee werden gecontroleerd door de aanvaller. Dit betekent dat de aanvaller al geldige handtekeningen had verkregen van twee van de vijf raadleden, vastgelegd in duurzame nonce-transacties die niet zouden verlopen.

Op 27 maart voerde Drift een geplande migratie van de Raad van Bestuur uit om een raadslid te vervangen. De aanvaller paste zich aan. Op 30 maart verscheen een nieuwe duurzame nonce-account, gekoppeld aan een lid van de bijgewerkte multisig, wat erop wijst dat de aanvaller opnieuw de vereiste twee-van-vijf goedkeuringsdrempel had verkregen onder de nieuwe configuratie.

Op 1 april voerde de aanvaller uit.

Ten eerste voerde Drift een legitieme testopname uit van zijn verzekeringsfonds. Ongeveer een minuut later diende de aanvaller de vooraf ondertekende duurzame nonce-transacties in. Twee transacties, gescheiden door vier slots op de Solana-blockchain, waren voldoende om een kwaadaardige beheerdersoverdracht te creëren en goed te keuren, waarna deze werd goedgekeurd en uitgevoerd.

Binnen enkele minuten had de aanvaller volledige controle over de protocolniveau-machtigingen van Drift. Ze gebruikten die controle om een frauduleus opnamemechanisme te introduceren en de kluizen leeg te trekken.

Wat er werd meegenomen en waar het naartoe ging

Onchain-onderzoekers volgden de geldstromen in realtime. De uitsplitsing van de gestolen activa, samengesteld door veiligheidsonderzoeker Vladimir S., bedroeg in totaal ongeveer $270 miljoen verspreid over tientallen tokens.

De grootste enkele categorie bedroeg $155,6 miljoen in JPL-tokens, gevolgd door $60,4 miljoen in USDC, $11,3 miljoen in CBBTC (Coinbase wrapped bitcoin), $5,65 miljoen in USDT, $4,7 miljoen in wrapped ether, $4,5 miljoen in DSOL, $4,4 miljoen in WBTC, $4,1 miljoen in FARTCOIN, en kleinere bedragen verspreid over JUP, JITOSOL, MSOL, BSOL, EURC, en andere.

De primaire wallet die de fondsen afhandigde, werd acht dagen voor de aanval gefinancierd via NEAR Protocol intents, maar bleef tot de uitvoeringsdag inactief. Gestolen fondsen werden overgebracht naar tussenliggende wallets die slechts één dag eerder werden gefinancierd via Backpack, een gedecentraliseerde crypto exchange die identiteitsverificatie vereist, wat mogelijk onderzoekers een aanknopingspunt biedt.

Van daaruit werden de fondsen via Wormhole, een cross-chain brug, overgeheveld naar Ethereum-adressen. Die Ethereum-adressen waren vooraf gefinancierd met Tornado Cash, de gesanctioneerde privacy mixer.

ZachXBT, een vooraanstaand onchain-onderzoeker, opgemerkt dat er meer dan $230 miljoen aan USDC is overgezet van Solana naar Ethereum via Circles CCTP (Cross-Chain Transfer Protocol) in meer dan 100 transacties.

Hij bekritiseerde Circle, de gecentraliseerde uitgever van USDC, omdat zij de gestolen fondsen niet bevroren tijdens een periode van zes uur nadat de aanval rond het middaguur Eastern Time begon.

De aanval deed ook denken aan recente pogingen tot social engineering, waarbij tactieken werden gebruikt die vergelijkbaar zijn met eerder waargenomen gevallen, aldus een social media bericht door een gebruiker die de naam 'Temmy' hanteert. "We hebben dit eerder gezien. We hebben dit zo vaak gezien," zei de gebruiker.

"bybit. $1,4 miljard. de aanvaller heeft de ondertekeningsinfrastructuur gecompromitteerd en ondertekenaars misleid om kwaadaardige transacties te autoriseren. hetzelfde concept. social engineering. niet code. ronin bridge. $625 miljoen. gecompromitteerde validator-sleutels. hetzelfde verhaal. cetus protocol. $223 miljoen. andere methode maar hetzelfde resultaat. honderden miljoenen verdwenen." luidde het bericht. "

Wat niet in gevaar werd gebracht

Wat faalde was de menselijke laag rond de multisig. Duurzame nonces stelden de aanvaller in staat om het moment van goedkeuring meer dan een week te scheiden van het moment van uitvoering, waardoor een kloof ontstond waarin de context van het ondertekende document niet langer overeenkwam met de context waarin het werd gebruikt.

Alle stortingen in de leen- en uitleenproducten van Drift, kluisstortingen en handelsfondsen zijn getroffen. DSOL-tokens die niet bij Drift zijn gestort, inclusief activa die zijn ingezet bij de Drift-validator, blijven onaangetast. Middelen uit het verzekeringsfonds worden opgenomen en veiliggesteld. Het protocol is bevroren en de gecompromitteerde wallet is uit de multisig verwijderd.

Als zodanig is dit de derde grote exploit in recente maanden die geen codekwetsbaarheid betrof. Social engineering en tekortkomingen in operationele beveiliging, in plaats van fouten in slimme contracten, zijn steeds vaker de oorzaak van geldverlies bij DeFi-protocollen.

De duurzame nonce-vector is vooral gevaarlijk omdat deze gebruikmaakt van een functie die om goede redenen bestaat en moeilijk te verdedigen is zonder de wijze waarop multisig-goedkeuringen op Solana werken fundamenteel te veranderen.

De open vraag, die Drift’s aanstaande gedetailleerde postmortem zal moeten beantwoorden, is hoe twee afzonderlijke multisig-leden transacties goedkeurden die ze niet begrepen, en of enige tooling- of interfacewijzigingen duurzame nonce-transacties hadden kunnen markeren als zijnde onderworpen aan extra controle.

Lees meer: Noord-Koreaanse hackers waarschijnlijk verantwoordelijk voor $286 miljoen Drift Protocol-exploit