На связь с хакерской группировкой указывает выполнение операций по будням и совпадение с рабочими часами в Пхеньяне, обратили внимание блокчейн-специалисты. Методы также напомнили им тактику Lazarus: использование миксера Tornado Cash при подготовке атаки, применение социальной инженерии, быстрый перевод средств через несколько блокчейнов с фокусом на Эфириум и удержание похищенных активов.
Согласно Elliptic, взлом Drift стал 18‑й атакой Lazarus с начала года.
Блокчейн-исследователи не обнаружили уязвимостей в коде, взломанных приватных ключей или манипуляций с оракулами. Специалисты по безопасности стали рассматривать версию фишинговой атаки, в ходе которой был скомпрометирован ключ администратора. Это предположение выдвинули также председатель фонда поддержки сети Solana Лили Лю (Lily Liu) и основатель платформы DRiP Вибху Норби (Vibhu Norby).
Как выяснилось, неизвестные использовали в Solana функцию durable nonces («долговечные одноразовые коды»). В Solana каждая операция включает временную метку на 60–90 секунд, которая подтверждает, что транзакция создана недавно. Если транзакция не отправлена в сеть за указанное время, она становится недействительной. Эта мера безопасности предотвращает повторную отправку устаревших транзакций.
Durable nonces отменяют это ограничение и делают транзакцию бессрочной — пока кто‑то не отправит ее в сеть. Если кто‑то подпишет операцию сегодня, ее можно выполнить через неделю или месяц. При этом подписавший не может отозвать одобрение. Это похоже на пустой банковский чек, отданный кому-то: на чеке нет суммы и даты, но есть подпись владельца денег. Тот, кто получил чек, может заполнить его в любой момент — через день, неделю или месяц — и снять деньги со счета.
В конце марта неизвестные создали четыре кошелька с механизмом отложенных транзакций. Два были связаны с реальными членами совета безопасности Drift: предположительно, злоумышленники получили действительные подписи под видом рутинной технической операции — люди не знали, что подпись для durable nonce, считают аналитики.
В день атаки хакеры под видом стандартного теста на безопасность запустили вывод средств из страхового фонда Drift. Спустя минуту злоумышленники отправили заранее подписанные две транзакции, что позволило одобрить мошеннический перевод на уровне администратора, а затем выполнить, выведя деньги из протокола.
Lazarus ранее взломала платформы Bybit и Ronin, выведя $1,5 млрд и $625 млн соответственно. Атака на Drift произошла 1 апреля. На протяжении шести часов украденные USDC переводились через протокол Circle более чем через 100 транзакций, выяснил анонимный исследователь ZachXBT.