要点
1.-
攻击者初始化了一个名为 CVT 的诈骗代币的现货市场金库。
总损失:超过 2.85 亿美元已从漂移协议中流失,使其成为迄今为止基于 Solana 的最大漏洞之一。
漏洞利用: 安全公司 OShield 报告称,两个 Drift 多位密钥被泄露。攻击者使用这些密钥更新了 Drift 状态帐户,并将自己指定为协议管理员。
方法:
他们将 CVT 的甲骨文价格操纵到了一个人为的高值。
通过存入毫无价值的 CVT,攻击者能够使用 Drift’cross-margin 和 swap 功能提取 2.85 亿美元的合法资产(SOL、ETH、BTC 和 JLP)。
Funds on the Move:Arkham 数据显示,漏洞利用者已将大部分资产转换并桥接到以太坊。攻击者目前持有约 130,000 个 ETH(价值约 2.77 亿美元)。
生态系统影响: 木星交易所确认,尽管 Drift 的保险库中的大量 JLP 代币被盗,但 $JLP 仍然是安全和完全支持的。
其他协议也确认了不同程度的风险;SolanaFloor 仍在整理受影响团队的完整名单。
。
对 Circle 的批评: Onchain 调查员 ZachXBT 批评 Circle 在数小时内数百万美元通过 CCTP 从 Solana 桥接到以太坊时未能进行干预或冻结 USDC。
当前状态:漂流团队已确认 "异常活动",并敦促用户不要存入资金。据报道,该团队已脱离人身危险,目前正在进行程序升级,以重新获得对协议的管理控制权。
0