Driftの攻撃者が、利便性のために設計されたSolanaの機能を利用して2億7000万ドル以上を流出させた方法

Drift Protocolで発生した最近の2億7000万ドル以上の流出は、従来のハッキングではなく、Solanaの「永続的なnonce」機能の巧妙な操作によるものでした。この機能により、トランザクションは通常の時間的制約を回避して、無期限に有効な状態を維持し、事前の承認が可能になります。攻撃者は、Driftのセキュリティ評議会から、一見通常のトランザクションであるものに対して署名を取得し、数週間後にそれらのトランザクションを実行して資金を流出させました。この攻撃は、署名者が将来の影響を完全に理解せずにトランザクションを承認できるという、マルチシグセキュリティの人間のレイヤーにおける脆弱性を浮き彫りにしています。盗まれた資金は、さまざまなトークンで約2億7000万ドルに達し、複数のウォレットやクロスチェーンブリッジ（Tornado Cashを含む）を経由して移動し、現在のセキュリティ対策の有効性と、潜在的に悪意のある永続的なnonceトランザクションをフラグ付けするためのツール改善の必要性についての疑問を投げかけています。この事件は、コードの脆弱性ではなく、運用上のセキュリティの失敗から発生する攻撃がますます増えているという傾向を強調しています。

(出典：CoinDesk)