El exploit de 285 millones de dólares del protocolo Drift en Solana plantea dudas sobre la seguridad de DeFi

En breve

Investigadores y expertos están estudiando detenidamente el diseño de Drift, preguntándose si ciertas características o procedimientos de diseño podrían haber frustrado su hazaña de 285 millones de dólares.

El incidente muestra cuántos proyectos DeFi priorizan la seguridad técnica sobre la higiene de la ciberseguridad, según el director de operaciones de SVRN, David Schwed.

Los espectadores han argumentado que un "bloqueo de tiempo" le habría dado a Drift la oportunidad de intervenir y evitar que el atacante desviara los fondos.

Cuando se roban millones de dólares en criptomonedas de un protocolo financiero descentralizado, a menudo surgen preguntas difíciles, y el exploit de 285 millones de dólares del Drift Protocol el miércoles no es diferente.

El proyecto basado en Solana se ha convertido en el centro de atención a medida que investigadores y expertos analizan minuciosamente su diseño, lo que plantea dudas sobre si ciertas características o procedimientos de diseño podrían haber impedido que alguien llevara a cabo uno de los ataques DeFi más lucrativos del pasado reciente.

En una publicación en X, Drift dijo que un actor malicioso obtuvo acceso no autorizado a su plataforma a través de un "ataque novedoso", que otorgó poderes administrativos sobre el llamado consejo de seguridad de Drift. Agregaron que el ataque probablemente implicó cierto grado de "ingeniería social sofisticada".

El atraco, que se encuentra entre los más grandes de DeFi en la historia reciente, dependió de la introducción de un activo digital falso en el intercambio descentralizado y la modificación de los límites de retiro de la plataforma. Después de inflar el valor del token malicioso, el atacante obtuvo la capacidad de drenar rápidamente la liquidez real de Drift abusando de la mecánica de endeudamiento.

Hay indicios de que el exploit está vinculado a la República Popular Democrática de Corea, dijo el jueves la firma de inteligencia blockchain Elliptic en un informe. Señalaron el comportamiento en cadena del atacante, las metodologías de lavado y los indicadores a nivel de red.

Con los depósitos de los usuarios afectados (y el protocolo congelado como medida de precaución), los espectadores también se están centrando en un elemento central del diseño de Drift: una billetera multifirma, donde las firmas producidas por dos claves privadas permitieron al atacante obtener amplios poderes.

Las billeteras multifirma representan un punto de centralización para muchos proyectos DeFi, y el incidente expone la incómoda realidad de que las auditorías de contratos inteligentes solo pueden prevenir un daño limitado, según el director de operaciones de SVRN y experto en seguridad blockchain, David Schwed.

Le dijo a Decrypt que Drift se ha convertido en el último ejemplo de cómo los servicios que buscan reemplazar a los intermediarios financieros con código frecuentemente dependen de equipos pequeños y puntos de centralización como billeteras multifirma que presentan riesgos de ciberseguridad.

"Todos los ingenieros hoy en día se centran en el lado tecnológico de la seguridad, no en las personas en el proceso", dijo. "Entonces sí, el protocolo está descentralizado, pero su gobierno está centralizado contra cinco personas".

'Una vez más'

Schwed comparó la falta de seguridad de Drift con uno de los hacks de DeFi más notorios, en el que piratas informáticos vinculados a Corea del Norte robaron más de 625 millones de dólares en activos digitales en 2022. Apuntaron a Ronin, una cadena lateral de Ethereum desarrollada para el exitoso juego NFT Axie Infinity. El ataque se basó en obtener acceso a cinco claves privadas, según la empresa de seguridad blockchain Chainalysis.

Mientras que los analistas de blockchain ven las huellas dactilares de un Estado-nación, otros argumentan que la precisión del ataque sugiere un conocimiento más íntimo del protocolo. Schwed dudaba que hackers vinculados a Corea del Norte estuvieran involucrados en el ataque contra Drift porque da la sensación de que el atacante, posiblemente un insider, "sabía a quién apuntar".

Los espectadores han especulado que un "bloqueo de tiempo" podría haber evitado que el exploit se produjera tan rápido. La función de contrato inteligente restringe la ejecución de transacciones o el acceso a fondos hasta que se alcance un momento futuro específico, lo que potencialmente brinda al equipo de Drift una ventana para intervenir.

"Los bloqueos de tiempo son útiles para ganar tiempo para reaccionar ante un ataque de este tipo, y habrían ayudado aquí, pero esa no es la causa principal", dijo a Decrypt Stefan Byer, socio gerente de Oak Security. "El mayor problema fue que, una vez más, una clave privilegiada estaba comprometida".

Aún así, Dan Hongfei, fundador y presidente de Neo Blockchain, argumentó que los protocolos como Drift, que albergan millones de dólares en fondos, no deberían poder agotarse instantáneamente.

En una publicación en X, dijo que se deben aplicar bloqueos de tiempo vinculados a acciones críticas, como enumerar activos de alto riesgo, para "evitar que un atacante complete toda la cadena de explotación en segundos".

Or Dadosh, fundador del proveedor de infraestructura de seguridad criptográfica Venn Network, se hizo eco de este sentimiento. También señaló los disyuntores automáticos, que permiten a los proyectos pausar instantáneamente las operaciones si se superan los umbrales anormales de velocidad de flujo de salida o de volumen.

Varios expertos en seguridad apostaron a que Drift no sería el último proyecto DeFi en sufrir un exploit como el ocurrido el miércoles. Señalaron que los malos actores recurren cada vez más a la IA y utilizan algoritmos para obtener una comprensión integral de su próximo