El 1 de abril, un exchange descentralizado de contratos perpetuos basado en Solana, Drift Protocol, confirmó una brecha de seguridad activa que provocó la pérdida de aproximadamente 280 millones de dólares en fondos de usuarios. En cuestión de minutos tras detectar transacciones irregulares en la cadena, el equipo de Drift suspendió todos los depósitos y retiros y movilizó a sus socios de seguridad para contener el incidente. El informe postmortem de Drift reveló más tarde que el atacante explotó un mecanismo de nonce duradero previamente firmado para ejecutar transacciones diferidas sin detección. Este enfoque permitió que el actor malicioso engañara a los signatarios multisig para aprobar lo que parecÃa ser operaciones administrativas legÃtimas, provocando una evasión instantánea del umbral.
La brecha se desarrolló en dos etapas. Primero, el explotador obtuvo dos de las cinco firmas necesarias en la nueva dirección multisig del protocolo, que habÃa sido desplegada solo dÃas antes como parte de una actualización planificada. Un signatario retenido del multisig anterior conservó inadvertidamente el acceso, y el atacante comprometió a otros dos signatarios mediante fallos de seguridad operativa dirigidos. En una ventana de timelock de cero segundos, el actor presentó y aprobó una propuesta para transferir todos los activos de la bóveda de liquidez de Drift —que comprende USDC, Bitcoin envuelto, Ethereum envuelto y otros tokens SPL— a una cartera externa.
El análisis de blockchain realizado por Elliptic y CertiK indicó que los fondos fueron puenteados a través del Cross-Chain Transfer Protocol (CCTP) de Circle hacia Ethereum minutos después del drenaje. La inteligencia de amenazas de Elliptic señaló direcciones de cartera previamente vinculadas a campañas de ciberdelincuencia patrocinadas por Corea del Norte. Exploits históricos de Corea del Norte, incluido el hack de Wormhole por 1.5 mil millones de dólares en 2022 y el incidente de Bybit por 2 mil millones en febrero de 2025, comparten similitudes conductuales: dependencia de nonces duraderos o ventanas de retraso temporal y priorización de flujos de stablecoins de alta liquidez.
Los actores de la industria respondieron rápidamente. La Solana Foundation inició una auditorÃa de código sobre el manejo de nonces duraderos, mientras Circle pausó nodos heredados de enrutamiento de malla para prevenir más puentes de USDC no autorizados. Drift Protocol involucró a las autoridades, incluido el National Cryptocurrency Enforcement Team del Departamento de Justicia de EE. UU., para rastrear los activos robados a través de plataformas centralizadas y descentralizadas. Las opciones de recuperación en cadena siguen siendo limitadas, pero la gobernanza del protocolo ha propuesto un plan de recuperación de colateral financiado por fondos de seguros del ecosistema.
El exploit subraya las vulnerabilidades persistentes en los esquemas de firmas múltiples y el factor humano en la seguridad operativa. El fundador de Drift anunció planes para integrar soluciones de gestión de claves basadas en hardware y exigir aprobaciones de múltiples partes mediante esquemas de firma por umbral (TSS) con plazos de bloqueo extendidos. A medida que el TVL de DeFi supera los 200 mil millones de dólares en todas las redes, el hack de Drift sirve como recordatorio de que la higiene de gobernanza y los controles de riesgo entre cadenas son crÃticos para salvaguardar la infraestructura financiera descentralizada.
Comentarios (0)