Drift Protocol drenado de $270 millones utilizando nonces duraderos de Solana - Se sospecha de Corea del Norte

Drift Protocol, una de las plataformas de futuros perpetuos y préstamos más grandes de Solana, ha sido drenada de aproximadamente $270 millones en lo que los investigadores de seguridad están llamando uno de los ataques de ingeniería social más sofisticados en la historia de DeFi. La explotación no involucró una sola línea de código defectuoso.

Qué Sucedió

El ataque aprovechó los nonces duraderos de Solana, una característica legítima diseñada para permitir que las billeteras de hardware y las soluciones de custodia institucional pre-firmen transacciones sin la ventana de expiración estándar de 90 segundos. El atacante utilizó esta característica para engañar a dos de los cinco miembros del Consejo de Seguridad de Drift para que firmaran lo que parecían ser transacciones rutinarias, y luego mantuvo esas aprobaciones pre-firmadas durante más de una semana antes de ejecutarlas.

El 23 de marzo, se crearon cuatro cuentas de nonce duradero: dos vinculadas a miembros legítimos del consejo de Drift y dos controladas por el atacante. Para el 30 de marzo, el atacante se había adaptado a una migración planificada del Consejo de Seguridad y volvió a obtener el umbral de aprobación requerido de dos de cinco. El 1 de abril, el atacante presentó las transacciones pre-firmadas en dos operaciones a solo cuatro espacios de distancia en la blockchain de Solana, ganando control total de los permisos a nivel de protocolo de Drift en menos de un minuto.

Desglose de $270 Millones

Investigadores en cadena rastrearon los activos robados en tiempo real:

• $155.6 millones en tokens JLP
• $60.4 millones en USDC
• $11.3 millones en CBBTC (Bitcoin envuelto de Coinbase)
• $5.65 millones en USDT
• $4.7 millones en ETH envuelto
• $4.5 millones en DSOL
• $4.4 millones en WBTC
• $4.1 millones en FARTCOIN
• Montos más pequeños en JUP, JITOSOL, MSOL, BSOL, EURC y otros

Conexión con Corea del Norte

La firma de análisis de blockchain Elliptic ha identificado patrones de lavado entre cadenas y desafíos de rastreo específicos de Solana que reflejan operaciones anteriores vinculadas al estado norcoreano. El atacante utilizó una billetera financiada a través de intenciones del Protocolo NEAR ocho días antes del ataque y movió fondos robados a Ethereum a través de Wormhole, con direcciones pre-financiadas lavadas a través de Tornado Cash.

ZachXBT señaló que más de $230 millones en USDC fueron transferidos de Solana a Ethereum a través del CCTP de Circle en más de 100 transacciones, criticando a Circle por no congelar los fondos durante una ventana de seis horas después de que comenzó el ataque.

Un Patrón de Ingeniería Social

Esto marca la tercera gran explotación de DeFi en los últimos meses que no involucró una vulnerabilidad de código. El patrón refleja el hackeo de Bybit ($1.4 mil millones), la explotación del puente Ronin ($625 millones), y la filtración del Protocolo Cetus ($223 millones) - todos casos donde la ingeniería social, no los errores de contratos inteligentes, fue el vector del ataque.

Como señaló un investigador: "Hemos visto esto antes. Mismo concepto. Ingeniería social. No código."

Qué Sucede Ahora

Drift Protocol ha sido congelado, y la billetera comprometida ha sido eliminada del multisig. Todos los depósitos en los productos de préstamo y préstamo de Drift, depósitos en bóvedas y fondos de comercio están afectados. Los activos del fondo de seguros están siendo retirados y salvaguardados. Los tokens DSOL no depositados en Drift, incluidos los activos apostados al validador de Drift, permanecen sin afectar.

La explotación ha renovado llamados urgentes para que los protocolos de DeFi reconsideren su dependencia de la gobernanza multisig e implementen salvaguardias adicionales en torno al uso de nonces duraderos, incluyendo ventanas de ejecución bloqueadas por tiempo y monitoreo de nonces en tiempo real.