如何一個為便利設計的 Solana 功能讓攻擊者從 Drift 鏨走超過 2.7 億美元
事件概述
攻擊者利用 Solana 上一個為便利而設計的「耐用非確認數(durable nonces)」功能,成功從 Drift 協議中盜走超過 2.7 億美元的資產。
技術細節
- 該功能本意是為了提升交易的穩定性與使用者體驗,但被攻擊者惡意利用。
- 攻擊者透過偽造簽名,利用「耐用非確認數」的機制,繞過了正常的驗證流程。
- 整個攻擊過程在短短一小時內完成,導致 Drift 協議遭受嚴重損失。
後續措施
Drift 協議已暫停所有存款與提現功能,並正在調查此事件的完整細節。
該事件也引發了對 Solana 上 DeFi 平臺安全機制的廣泛討論。