Cuando millones de dólares en cripto son sustraídos de un protocolo de finanzas descentralizadas, suelen surgir preguntas difíciles, y el exploit de $285 millones del Protocolo Drift el miércoles no es una excepción.
El proyecto basado en Solana ha sido puesto en el centro de atención mientras investigadores y expertos examinan su diseño, planteando preguntas sobre si ciertas características de diseño o procedimientos podrían haber evitado que alguien llevara a cabo uno de los ataques DeFi más lucrativos en el pasado reciente.
En una publicación en X, Drift dijo que un actor malicioso obtuvo acceso no autorizado a su plataforma a través de un “ataque novedoso”, que le otorgó poderes administrativos sobre el llamado consejo de seguridad de Drift. Añadieron que el ataque probablemente implicó cierto grado de “ingeniería social sofisticada”.
El robo, que se encuentra entre los más grandes de DeFi en la historia reciente, se basó en la introducción de un activo digital falso en el exchange descentralizado y la modificación de los límites de retiro de la plataforma. Después de inflar el valor del token malicioso, el atacante obtuvo la capacidad de drenar rápidamente liquidez real de Drift abusando de los mecanismos de préstamo.
Hay indicios de que el exploit está vinculado a la República Popular Democrática de Corea, dijo la firma de inteligencia blockchain Elliptic en un informe el jueves. Señalaron el comportamiento en cadena del atacante, las metodologías de lavado y los indicadores a nivel de red.
Con los depósitos de los usuarios afectados —y el protocolo congelado como medida de precaución— los observadores también se están centrando en un elemento central del diseño de Drift: una billetera multifirma, donde las firmas producidas por dos claves privadas permitieron al atacante obtener poderes amplios.
Las billeteras multifirma representan un punto de centralización para muchos proyectos DeFi, y el incidente expone la incómoda realidad de que las auditorías de contratos inteligentes solo pueden prevenir una cantidad limitada de daños, según David Schwed, director de operaciones de SVRN y experto en seguridad blockchain.
Dijo a Decrypt que Drift se ha convertido en el último ejemplo de cómo los servicios que buscan reemplazar a los intermediarios financieros con código dependen frecuentemente de pequeños equipos y puntos de centralización como las billeteras multifirma que presentan riesgos de ciberseguridad.
“Todos los ingenieros hoy se centran en el lado tecnológico de la seguridad, no se centran en las personas en el proceso”, dijo. “Así que sí, el protocolo está descentralizado, pero su gobernanza está centralizada en cinco personas”.
Schwed comparó el fallo de seguridad de Drift con uno de los hacks DeFi más notorios, donde más de $625 millones en activos digitales fueron robados por hackers vinculados a Corea del Norte en 2022. Estos atacaron Ronin, una sidechain de Ethereum desarrollada para el exitoso juego NFT Axie Infinity. El ataque se basó en obtener acceso a cinco claves privadas, según la firma de seguridad blockchain Chainalysis.
Mientras los analistas de blockchain ven las huellas de un estado-nación, otros argumentan que la precisión del ataque sugiere un conocimiento más íntimo del protocolo. Schwed dudó que los hackers vinculados a Corea del Norte estuvieran involucrados en el hack contra Drift porque parece que el atacante, posiblemente un insider, “sabía a quién atacar”.
Observadores han especulado que un “bloqueo de tiempo” podría haber evitado que el exploit ocurriera tan rápidamente. La característica del contrato inteligente restringe la ejecución de transacciones o el acceso a fondos hasta que se alcanza un momento futuro específico, proporcionando potencialmente al equipo de Drift una ventana para intervenir.
“Los bloqueos de tiempo son útiles para ganar tiempo y reaccionar a un ataque de este tipo, y habrían ayudado aquí, pero esa no es la causa raíz”, dijo Stefan Byer, socio gerente de Oak Security, a Decrypt. “El mayor problema fue que —de nuevo— una clave privilegiada fue comprometida”.
Aun así, Dan Hongfei, fundador y presidente de Neo Blockchain, argumentó que los protocolos como Drift que albergan millones de dólares en fondos no deberían ser drenables instantáneamente.
En una publicación en X, dijo que los bloqueos de tiempo vinculados a acciones críticas como la lista de activos de alto riesgo deben aplicarse para “evitar que un atacante complete toda la cadena de exploit en segundos”.
El sentimiento fue compartido por Or Dadosh, fundador del proveedor de infraestructura de seguridad cripto Venn Network. También señaló los disyuntores automáticos, que permiten a los proyectos pausar instantáneamente las operaciones si se superan los umbrales de velocidad o volumen de salida anormales.
Varios expertos en seguridad apostaron que Drift no sería el último proyecto DeFi en sufrir un exploit como el ocurrido el miércoles. Señalaron que los malos actores están recurriendo cada vez más a la IA, utilizando algoritmos para obtener una comprensión completa de su próximo objetivo.
“Hemos llegado a un nivel en el que un actor malicioso puede falsificar la voz de tu madre en una llamada telefónica”, dijo Dadosh a Decrypt. “Vivimos en una nueva era donde los ataques financieros pueden surgir en lugares y formatos que ni siquiera podríamos haber imaginado hace un año”.
