Drift Protocol Drenado de $270 Milhões Usando Nonces Duráveis do Solana - Coreia do Norte Suspeita

Drift Protocol, uma das maiores plataformas de futuros perpétuos e empréstimos da Solana, foi drenada de aproximadamente $270 milhões em que pesquisadores de segurança estão chamando de um dos ataques de engenharia social mais sofisticados da história do DeFi. A exploração não envolveu uma única linha de código com bugs.

O que Aconteceu

O ataque aproveitou os nonces duráveis da Solana - um recurso legítimo projetado para permitir que carteiras de hardware e soluções de custódia institucional pré-assinem transações sem a janela de expiração padrão de 90 segundos. O atacante usou esse recurso para enganar dois dos cinco membros do Conselho de Segurança da Drift a assinar o que parecia ser transações rotineiras, e então manteve essas aprovações pré-assinadas por mais de uma semana antes de executá-las.

Em 23 de março, quatro contas de nonce durável foram criadas - duas ligadas a membros legítimos do conselho da Drift e duas controladas pelo atacante. Em 30 de março, o atacante se adaptou a uma migração planejada do Conselho de Segurança e obteve novamente o necessário limiar de aprovação de dois em cinco. Em 1 de abril, o atacante enviou as transações pré-assinadas em duas operações apenas quatro slots de distância na blockchain da Solana, ganhando controle total das permissões em nível de protocolo da Drift em menos de um minuto.

Quebra de $270 Milhões

Pesquisadores on-chain rastrearam os ativos roubados em tempo real:

• $155,6 milhões em tokens JLP
• $60,4 milhões em USDC
• $11,3 milhões em CBBTC (Bitcoin embrulhado da Coinbase)
• $5,65 milhões em USDT
• $4,7 milhões em ETH embrulhado
• $4,5 milhões em DSOL
• $4,4 milhões em WBTC
• $4,1 milhões em FARTCOIN
• Quantias menores em JUP, JITOSOL, MSOL, BSOL, EURC e outros

Conexão com a Coreia do Norte

A empresa de análise de blockchain Elliptic identificou padrões de lavagem cross-chain e desafios de rastreamento específicos da Solana que refletem operações anteriores ligadas ao estado da Coreia do Norte. O atacante usou uma carteira financiada através de intentos do NEAR Protocol oito dias antes do ataque e moveu os fundos roubados para Ethereum através do Wormhole, com endereços pré-financiados lavados através do Tornado Cash.

ZachXBT observou que mais de $230 milhões em USDC foram transferidos da Solana para Ethereum via CCTP da Circle em mais de 100 transações, criticando a Circle por não congelar os fundos durante uma janela de seis horas após o início do ataque.

Um Padrão de Engenharia Social

Isso marca a terceira grande exploração de DeFi nos últimos meses que não envolveu uma vulnerabilidade de código. O padrão reflete o hack da Bybit ($1,4 bilhão), a exploração da ponte Ronin ($625 milhões) e a violação do Cetus Protocol ($223 milhões) - todos os casos onde a engenharia social, e não bugs de contrato inteligente, foi o vetor do ataque.

Como um pesquisador observou: "Já vimos isso antes. Mesmo conceito. Engenharia social. Não código."

O que Acontece Agora

Drift Protocol foi congelado, e a carteira comprometida foi removida do multisig. Todos os depósitos nos produtos de empréstimo e empréstimo da Drift, depósitos em cofres e fundos de negociação estão afetados. Os ativos do fundo de seguro estão sendo retirados e protegidos. Tokens DSOL não depositados na Drift, incluindo ativos apostados no validador da Drift, permanecem inalterados.

A exploração renovou chamadas urgentes para que os protocolos DeFi repensem sua dependência da governança multisig e implementem salvaguardas adicionais em torno do uso de nonces duráveis, incluindo janelas de execução bloqueadas por tempo e monitoramento de nonces em tempo real.