Drift Drain expliqué pour les nuls :

Qu'est-ce que Drift ?
Pensez à Drift comme une banque ou une application de trading crypto
les gens y déposent de l'argent (comme ETH, SOL, etc.)
l'application vous permet ensuite de :
• Trader
• Emprunter
• Retirer de l'argent
en fonction de ce que vous avez déposé.
Idée importante : « collatéral », cela signifie simplement :
vous mettez de l'argent, et l'application vous fait confiance en fonction de ce montant. Par exemple :
Si vous déposez 100 $, l'application pourrait vous permettre d'utiliser/retirer/trader jusqu'à cette valeur.
Voici l'attaque :
1) l'attaquant a créé un jeton appelé CVT, avec une offre de 750 MILLIONS, et ils n'ont mis $500 que de la liquidité dessus.
Ils ont fixé le prix de chaque jeton à = $1 pour donner l'impression qu'ils avaient des centaines de millions, mais c'était essentiellement tout faux.
2) Ils ont obtenu un « accès administrateur » (la clé admin a été compromise)
La clé admin est comme le mot de passe maître du système entier, celui qui la possède peut :
• Ajouter de nouveaux actifs
• Modifier les règles
• Supprimer les limites
Et l'attaquant a d'une manière ou d'une autre obtenu cette clé.
3) Ils ont trompé le système :
En utilisant ce pouvoir d'administrateur, ils ont dit à Drift : « ce faux jeton est valide, supprimez les limites de sécurité » (les fixer à 500 trillions, soit pratiquement l'infini)
Maintenant, le système faisait confiance au faux jeton.
4) Ils ont déposé de l'argent faux :
ils ont mis 785 millions de CVT et le système a pensé :
« d'accord, cet utilisateur a 785 millions de dollars », même si tout était faux. (LP n'avait que 500 $ et le prix était fixé à 1 $ par eux)
5) Ils ont retiré de l'argent réel :
Maintenant, le système disait : « vous avez beaucoup d'argent, vous pouvez retirer beaucoup » et ainsi l'attaquant a commencé à prendre de vrais actifs :
•66,4 M USDC (dollars numériques)
•42,7 M JLP
•23,3 M MOODENG
•5,6 M USDT
•5,2 M USDS
•2,6 M JUP
•583 K RAY
•477 K WETH
et plus encore, en environ 12 minutes.