Drift рассказал о взломе на $280 млн, а Circle критикуют из‑за отсутствия заморозки USDC

Децентрализованная биржа Drift Protocol на базе Solana в четверг подтвердила, что стала целью взлома примерно на $280 млн, назвав инцидент «крайне сложной операцией».

Проект сообщил в X, что по предварительным данным злоумышленники воспользовались механизмом durable nonce в Solana — он позволяет проводить заранее подписанные транзакции — чтобы получить контроль и вывести средства. Ранее протокол заявлял об активной атаке и на время приостановил депозиты и вывод, координируя действия с компаниями по безопасности, мостами и биржами.

Атака началась в среду и затронула несколько активов, включая USDC от Circle и различные альткоины. Ончейн-данные показывают, что основную часть активов злоумышленник обменял на USDC, после чего средства были переведены через мост в сеть Ethereum.

Ситуация вызвала внимание не только потому, что, судя по всему, была злоупотреблена легитимная функция транзакций Solana, а не произошел «обычный» сбой смарт-контракта. Дополнительные вопросы возникли из-за того, что средства в течение нескольких часов перемещались между сетями без заморозки, что вновь подняло тему вмешательства централизованных эмитентов стейблкоинов.

Что такое durable nonce в Solana?

Durable nonce — это функция Solana, которая позволяет транзакциям обходить часть ограничений по «сроку годности» и дает возможность заранее подписывать операции для последующего исполнения, офлайн-подписания или сложных сценариев с мультиподписью.

В Drift утверждают, что атакующий использовал заранее подписанные транзакции на базе durable nonce, чтобы получить несанкционированный административный доступ и быстро выполнить вредоносные действия после отправки.

Сами по себе durable nonce ранее редко связывали с крупными взломами, однако разработчики отмечали, что функции отложенного исполнения усложняют систему и могут создавать риски при неправильном использовании или в сочетании с другими уязвимостями.

Вопросы к реакции Circle

Инцидент также вызвал критику в адрес эмитента USDC — компании Circle. По оценкам наблюдателей, у злоумышленника было несколько часов, чтобы конвертировать около $270 млн в стейблкоин, прежде чем вывести средства в Ethereum.

Ончейн-исследователь ZachXBT и другие участники сообщества заявили, что у компании было как минимум около шести часов, чтобы заморозить средства, но этого не произошло, и сравнили ситуацию с прежними случаями, когда адреса попадали в черные списки.

Часть представителей индустрии при этом указала на разницу между технической возможностью Circle замораживать активы и юридической обязанностью это делать. Пользователь под псевдонимом Molu написал в X, что Circle может заморозить средства, но не обязана этого делать, добавив, что предлагаемые регуляторные рамки вроде GENIUS Act могут изменить ситуацию, если будут закреплять обязательное вмешательство.

Инцидент стал очередным эпизодом в споре о том, насколько централизованные игроки должны вмешиваться во время атак. ZachXBT неоднократно критиковал Circle по этой теме. Ранее он также поднимал вопросы к действиям компании в связи с USDC, связанными со взломом, который связывали с Bybit, после чего CEO Circle Джереми Аллэр заявлял, что компания замораживает средства по запросам правоохранительных органов.

Источник: Drift (X), Lookonchain (X)