El 1 d'abril, l'intercanvi descentralitzat de perpetuals basat a Solana, Drift Protocol, va confirmar una vulneració de seguretat activa que va provocar la pèrdua d'aproximadament 280 milions de dòlars en fons dels usuaris. A pocs minuts de detectar transaccions irregulars en la cadena, l'equip de Drift va suspendre tots els depòsits i retirades i va mobilitzar els seus socis de seguretat per contenir l'incident. L'informe postmortem de Drift va revelar més tard que l'atacant va explotar un mecanisme de nonce durador pre-signat per executar transaccions retardades sense ser detectat. Aquest enfocament va permetre a l'autor maliciós enganyar els signants multisig perquè aprovessin operacions d'administració que semblaven legítimes, desencadenant un salt de llindar instantani.
La vulneració es va desenvolupar en dues etapes. En primer lloc, l'explotador va obtenir dos de les cinc signatures requerides a la nova adreça multisig del protocol, que s'havia desplegat pocs dies abans com a part d'una actualització planificada. Un signant restant de l'anterior multisig inadvertidament va mantenir l'accés, i l'atacant va comprometre dos signants addicionals mitjançant fallades de seguretat operativa dirigides. Dins d'una finestra de bloqueig de zero segons, l'autor va presentar i aprovar una proposta que transferia tots els actius del cofre de liquiditat de Drift —que comprenen USDC, Bitcoin envellit, Ethereum envellit i altres tokens SPL— a una cartera externa.
L'anàlisi de blockchain per part d'Elliptic i CertiK va indicar que els fons van ser traslladats a través del Cross-Chain Transfer Protocol (CCTP) de Circle cap a Ethereum pocs minuts després del drenatge. La intel·ligència de ciberamenaces d'Elliptic va assenyalar adreces de cartera prèviament vinculades a campanyes de ciberdelinqüència patrocinades per l'estat de Corea del Nord. Explotacions històriques de Corea del Nord, incloent el hack Wormhole de 1,5 mil milions de dòlars el 2022 i l'incident Bybit de 2 mil milions de dòlars al febrer de 2025, comparteixen similituds de comportament: dependència de nonces duradors o finestres de retard temporal i priorització de fluxos de stablecoins amb alta liquiditat.
Els agents del sector van respondre ràpidament. La Solana Foundation va iniciar una auditoria de codi per al maneig de nonces duradors, mentre Circle va suspendre els nodes de ruteig de malla legats per evitar més ponts USDC no autoritzats. Drift Protocol va implicar les forces de l'ordre, incloent la National Cryptocurrency Enforcement Team del Departament de Justícia dels EUA, per rastrejar actius robats a través de plataformes centralitzades i descentralitzades. Les opcions de recuperació a la cadena segueixen limitades, però la governança del protocol ha proposat un pla de recuperació de garanties finançat pels fons d'assegurança de l'ecosistema.
L'explotació posa de relleu les vulnerabilitats persistents en els esquemes de signatura múltiple i l'element humà en la seguretat operativa. El fundador de Drift va anunciar plans per integrar solucions de gestió de claus basades en hardware i exigir l'aprovació de múltiples parts mitjançant esquemes de signatura per umbral (TSS) amb bloqueigs de temps extendits. A mesura que el TVL de DeFi supera els 200 mil milions de dòlars a través de les xarxes, el hack de Drift serveix com a recordatori que la higiene de la governança i els controls de risc intercadena són clau per a protegir la infraestructura financera descentralitzada.
Comentaris (0)