Drift gehackt: hoe één admin key $250 miljoen aan DeFi-fondsen kostte

Niet een bug in de code, maar één gecompromitteerde sleutel. Bij de hack van Drift, een van de grootste perpetual decentralized exchanges op Solana, onttrok een aanvaller meer dan $250 miljoen aan tokens uit het protocol. De exploit is een schoolvoorbeeld van wat beveiligingsexperts de "admin key surface area" noemen: de enorme macht die één sleutel over een heel protocol kan hebben.

SOL, het native token van Solana, daalde na het incident naar een vijfweeks dieptepunt. Het verlies aan vertrouwen in het ecosysteem is tastbaar.

Stap voor stap: zo werkte de exploit

Omer Goldberg, oprichter van Chaos Labs, reconstrueerde de aanval in een gedetailleerde X-thread. Zijn analyse maakt duidelijk hoe systematisch de aanvaller te werk ging.

De aanvaller verkreeg toegang tot Drift's admin key, een enkele privésleutel met protocolbrede beheerrechten. Met die sleutel in handen voerde hij een reeks stappen uit die bij elkaar het volledige protocol leegdraineerden:

1. Nep-collateralmarkt aangemaakt. De aanvaller creëerde een markt voor een waardeloze token genaamd CVT en registreerde die als acceptabel onderpand.
2. Risicoparameters gemaximeerd. Via de admin key herschreef hij de risicoregels zodat het systeem CVT-tokens als hoogwaardig, veilig onderpand behandelde.
3. Prijsorakel verwisseld. In dezelfde transactie koppelde hij een eigen, zelfgecontroleerd orakel aan CVT en pompte de prijs kunstmatig op, waardoor zijn nep-onderpand plotseling miljarden waard leek.
4. Circuit breakers uitgeschakeld. De opnamelimieten op grote activa, waaronder USDC en eETH, werden via dezelfde sleutel gedeactiveerd.
5. Protocol leeggetrokken. Met gemanipuleerd onderpand en uitgeschakelde beveiligingen draineerde hij meer dan $250 miljoen aan tokens uit de gedeelde liquiditeitspool.

Het hele proces was mogelijk doordat Drift werkt met één gedeelde liquiditeitspool: alle onderpand en handelsfondsen van alle gebruikers staan op dezelfde plek. Goldberg vergelijkt het met het bewaren van al je geld op één bankrekening. Zodra een aanvaller de sleutel heeft, is alles bereikbaar.

Het probleem zit niet in de code

Dat is de centrale les die Goldberg trekt, en hij formuleert het scherp: "If you're building in DeFi, audit the surface area of your admin key. Not only the smart contracts."

De smart contracts van Drift waren geaudit. De code zelf bevatte geen bekende bug. Maar de admin key had de bevoegdheid om protocolbrede risicoregels te herschrijven, orakels te wisselen en beveiligingsmechanismen uit te zetten. In handen van een aanvaller werden al die functies wapens.

Dit onderscheid is cruciaal. Een audit van smart contracts kijkt of de code doet wat hij moet doen. Maar als één sleutel die code grotendeels kan omzeilen of overschrijven, is de audit onvoldoende. De vraag die ontbrak: wat kan de admin key eigenlijk allemaal?

Patroon: beheersleutels als zwakste schakel

Het Drift-incident staat niet op zichzelf. Tien dagen eerder werd Resolv ook getroffen door een exploit waarbij een gecompromitteerde "privileged key" de aanvaller toegang gaf tot het protocol. Twee grote hacks in tien dagen, beide via beheersleutels, niet via codefouten.

Dit patroon verschuift het beveiligingsdebat in DeFi. Lange tijd ging de aandacht primair naar smart contract audits, formele verificatie en bugbounty-programma's gericht op de code. De aanvallen op Drift en Resolv laten zien dat de aanvalsvector zich heeft verplaatst: niet de logica van het protocol, maar de mensen en systemen die de sleutels beheren.

Wat kunnen cryptobeleggers hieruit leren?

Voor wie kapitaal inzet in DeFi-protocollen zijn er concrete vragen te stellen voordat je een protocol gebruikt:

• Wie heeft de admin key? Is dat één persoon, een multisig-constructie met meerdere ondertekenaars, of is de bevoegdheid al overgedragen aan een DAO?
• Wat kan de admin key? Kan die sleutel risicoparameters aanpassen, orakels wisselen of beveiligingsmechanismen uitschakelen? Hoe breder de bevoegdheden, hoe groter het risico.
• Is er een timelock? Een timelock dwingt een vertraging af tussen een beheersbesluit en de uitvoering ervan, zodat gebruikers kunnen reageren of kapitaal kunnen terugtrekken.
• Is er een gedeelde liquiditeitspool? Als dat zo is, vergroot een succesvolle admin-key-aanval het totale verlies enorm, omdat alle gebruikersfondsen op één plek staan.
• Zijn de beheerrechten openbaar gedocumenteerd? Transparantie over wie welke sleutel beheert is een basiskwaliteitseis. Als een protocol hier vaag over is, is dat een waarschuwingssignaal.

Vooruitblik

De Drift-hack zal de druk op DeFi-protocollen vergroten om hun sleutelbeheer te documenteren en te decentraliseren. Verwacht dat beveiligingsauditors en DAO's komende weken verhoogde aandacht besteden aan admin key governance. Voor Solana staat de vraag centraal of het ecosysteem het vertrouwen kan herstellen na twee grote exploits in korte tijd.

Bronnen: Chaos Labs (Omer Goldberg, X-thread)

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiele beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.

Cryptovaluta zijn niet gereguleerd en zeer volatiel. Je kunt je volledige inleg verliezen.