🟢 Drift, 사건 경위 업로드
-공격자는 durable nonce를 활용하여 미리 서명된 거래를 나중에 실행할 수 있는 구조 이용
-이는 즉흥적인 공격이 아닌 몇 주에 걸쳐서 준비된 정교한 공격으로 파악
-실행 전 단계에서 멀티시그 서명자들의 승인을 받아둔 후 적절한 시점에서 한번에 실행하여 탈취
-Drift Security Council의 2/5 멀티시그를 확보하였으며 몇 분안에 admin transfer를 이용하여 프로토콜 레벨 권한 장악
-악성 자산을 새로 추가하고 기존에 설정되어있던 출금제한을 해제한 후 대규모 자산인출
-피해규모는 Drift 발표 추산 280M 규모
-자체 프로그램이나 스마트 컨트랙트는 문제 없었으며 시드 문구 유출도 현재 증거는 없음
-사회공학적 또는 거래내용 오인 유도 공격이 있었을 것으로 추정
원문
1294
3시간 전
