TechFlowの報道によると、4月2日、SlowMistの創業者であるCos(余弦)氏(@evilcos)が明らかにしたところでは、Drift Protocolにおける盗難事件の根本原因は、1週間前にマルチシグ設定を「2/5」かつタイムロックなしの構成(旧署名者1名+新署名者4名)へ移行したことにある。攻撃者はこれを悪用し、数時間以内にadmin権限を乗っ取り、その後CVTの偽造トークンを発行し、オラクル(Oracle)を操作し、関連するセキュリティメカニズムを無効化。最終的にプール内の全価値資産を持ち去り、損失額は2億ドルを超えた。
Cos氏は同時に、すべてのDeFiプロジェクトが、owner/adminの秘密鍵が侵害された場合の極端なリスクシナリオを速やかに、かつ定期的にレビューし、アラートおよび応答メカニズムを整備すべきだと呼びかけた。またユーザーも、自身が参加するDeFiプロトコルにおいて、内部による不正行為などの極端な状況下で生じうる資金損失リスク(エクスポージャー)を十分に理解し、無思慮な参入を避けるよう注意を促している。
スローミスト(SlowMist)の創業者であるコス(余弦)氏(@evilcos)によると、Drift Protocol のハッキング事件の根本原因は、1週間前にマルチシグ(複数署名)スキームを「2/5」(旧署名者1名+新署名者4名)へ移行し、かつタイムロック(時限ロック)を設けなかった設定にあった。この脆弱性を悪用した攻撃者は、数時間以内に管理者(admin)権限を乗っ取り、CVTの偽造トークンを発行し、オラクル(Oracle)を操作し、関連するセキュリティ機構を無効化した。その結果、プール内の全価値資産が持ち去られ、損失額は2億ドルを超えた。 コス氏は同時に、すべてのDeFiプロジェクトが、所有者(owner)/管理者(admin)の秘密鍵が侵害された場合の極端なリスク・シナリオを、速やかかつ定期的にレビューし、アラートおよび対応メカニズムを強化すべきだと呼びかけた。また、ユーザーも、自身が参加するDeFiプロトコルにおいて、内部による悪意ある行為などの極端な状況下で生じうる資金損失リスク(エクスポージャー)を十分に理解し、無思慮に参入することを避けるべきだと述べている。
Web3業界の深掘り報道に専念し潮流を洞察
