El 2 de abril, el equipo de Drift Protocol publicó un descomposición post mortem del hack que drenó aproximadamente 280 millones de dólares del protocolo el día inicial.
Según el documentación, el ataque no aprovechó ninguna descompostura en el código del protocolo, sino que fue una campaña de varias semanas que involucró una combinación de ataques. Técnicas para engañar a los miembros para que realicen transacciones previas a la firma del entraña delegado de la plataforma.
El equipo actualizó la cantidad a 280 millones de dólares, tenuemente superior a los 270 millones de dólares informados en las horas posteriores al ataque. Todos los depósitos en préstamos, cajas fuertes e instalaciones comerciales se vieron afectados. Al momento de escribir este artículo, el protocolo permanece congelado.
Según informó CriptoNoticias, Drift Protocol es el principal intercambio descentralizado (DEX) de futuros perpetuos en Solana, y el ataque afectado representa el viejo exploit en el ecosistema de Solana desde el hackeo de Wormhole Bridge en 2022.
¿Cómo ocurrió el ataque?
Según un comunicado de Drift, el atacante aprovechó los mecanismos de la red Solana para Prefirmar transacciones y mantenerlas válidas Puede ejecutarse indefinidamente en cualquier momento en el futuro.
Estas transacciones prefirmadas se denominan nonces persistentes y son una aparejo legítima del protocolo, que normalmente se utiliza para automatizar pagos programados. en este caso, Los atacantes los utilizaron para obtener las aprobaciones necesarias por precoz Obtendremos la autoridad del Consejo de Seguridad de Drift, el organismo que controla los poderes administrativos del protocolo, y los implementaremos en unas semanas.
El consejo opera bajo un esquema de firmas múltiples de dos de cinco. Se requieren al menos dos firmas de cinco posibles para aprobar una bono administrativa. Conveniente a que los dos firmantes se vieron comprometidos a través de nonces persistentes, el atacante tenía todo lo que necesitaba para tomar el control sin memorizar necesariamente lo que los firmantes estaban permitiendo.
Cronología del ataque
Como explicó el equipo de Drift, la operación se desarrolló durante 10 días en tres etapas.
El 23 de marzo, el atacante creó cuatro cuentas nonce persistentes. Dos estaban asociados con miembros de Multisig de Drift y dos estaban bajo su propio control. En ese momento, al menos dos de los cinco firmantes del consejo aprobaron transacciones asociadas a estas cuentas sin memorizar que se trataba de acciones de aprobación previa que luego se tomarían.
El 27 de marzo, Drift llevó a final la transición prevista del Consejo de Seguridad con un cambio de miembros. Tres días a posteriori, el 30 de marzo, el atacante creó una nueva cuenta nonce persistente asociada con el miembro del consejo ascendido. Esto restablece efectivamente el entrada a dos de las cinco nuevas firmas multifirma.
El 1 de abril llegó la etapa de implementación. Drift realizó por primera vez una operación de prueba legítimo con un fondo de seguros. Un minuto a posteriori, el atacante ejecutó dos transacciones firmadas. El primero creó y aprobó una transferencia administrativa maliciosa. El segundo lo ejecutó. En cuestión de minutos, tomaron el control total del protocolo, introdujeron activos maliciosos, eliminaron todos los límites de retiro preestablecidos y agotaron los fondos.
Según el comunicado, el equipo no ha descartado la posibilidad de que los firmantes hayan sido víctimas de ingeniería social o representaciones engañosas de las transacciones que aprobaron, pero la causa de esto no ha sido confirmada y la investigación continúa.
¿Qué operaciones de deriva se ven afectadas?
Los usuarios que depositen fondos en el protocolo para préstamos, intercambios o bóvedas a la deriva se verán afectados, según el comunicado.
Los tokens DSOL que no se depositaron en Drift no se vieron afectados, incluidos los activos apostados con los validadores propios de la plataforma. Los activos del Fondo de Seguros fueron eliminados preventivamente del Protocolo.
Multifirma actualizado Para eliminar una billetera comprometida. Drift afirma estar trabajando con empresas de seguridad, bolsas, puentes y autoridades para rastrear y congelar los activos robados.
Voz del ecosistema
investigador en dependencia Círculo objetivo de ZachXBTEl emisor del USDC acusó a la compañía de no tomar ninguna medida mientras se transfirieron grandes cantidades de monedas estables de Solana a Ethereum durante el ataque.
Según ZachXBT, la transferencia de fondos se realizó durante horas sin intervención (sabiendo que tenía la capacidad de congelar tokens USDC) a través del protocolo de transferencia entre cadenas CCTP creado por Circle. Igualmente señaló que el seguimiento que hacía Circle del destino de los fondos contenía errores. Esto significa que el SOL del atacante no fue enviado a Hyperliquid o Binance. Sin requisa, está conectado de Solana a Ethereum a través de Chainflip..
Charles Guilmet, director de tecnología del fabricante de billeteras de hardware Ledger, dijo que el patrón de ataque era similar al hackeo de Bybit del año pasado, que se cree fue perpetrado por atacantes vinculados a Corea del Septentrión, y fue una operación paciente y sofisticada que apuntaba a humanos y capas operativas en superficie de código.
Guillemet cree que los firmantes pueden creer que están autorizando una operación legítima y, sin saberlo, autorizan el vaciado del protocolo.
El ejecutante todavía pidió mejoras en los estándares de seguridad de la industria, incluida una mejor detección de entornos comprometidos, mandato de claves de hardware y una visibilidad más clara del contenido de las firmas.
Finalmente, el equipo de Jupiter, el viejo intercambio descentralizado de Solana, reveló que su protocolo no está expuesto a mercados a la deriva y que el token JLP está totalmente respaldado por el activo subyacente.
La afirmación de Drift describe una logística detallada. A posteriori de semanas de preparación, migración de seguridad y ejecución, el entrada se restableció en un minuto. El equipo continúa trabajando con casas de bolsa, bolsas y autoridades para rastrear los fondos, pero hasta ahora no ha habido resultados confirmados.
(Traducción de etiquetas) Casa de Cambio (Exchange)
