TechFlow rapporte que, le 2 avril, selon une déclaration officielle de Drift Protocol (@DriftProtocol), un attaquant malveillant a pris rapidement le contrôle des privilèges de gestion du comité de sécurité de Drift Protocol à l’aide d’une nouvelle méthode d’attaque impliquant des nombres aléatoires durables (« durable nonces »). Cette attaque, préparée pendant plusieurs semaines et exécutée par étapes, a permis à l’attaquant de retarder l’exécution de transactions pré-signées et d’obtenir, via de l’ingénierie sociale ou des transactions trompeuses, l’approbation requise pour un portefeuille multi-signatures (2/5), aboutissant ainsi au transfert malveillant des droits d’accès au niveau du protocole.
L’équipe de Drift précise que cet incident ne résulte ni d’une vulnérabilité dans les contrats intelligents ni d’une fuite de phrase secrète. Les actifs concernés comprennent les dépôts liés au prêt, les dépôts dans le fonds d’assurance ainsi que les fonds destinés aux transactions. En revanche, les jetons DSOL non déposés sur Drift (y compris les actifs mis en staking auprès des validateurs de Drift) et les actifs du fonds d’assurance ne sont pas affectés.
