El atacante de Drift Protocol drena 285 millones de dólares y compra 130.262 ETH

El responsable del ataque a Drift Protocol está redoblando su apuesta por Ethereum tras ejecutar una operación sofisticada contra los sistemas administrativos del protocolo y vaciar 285 millones de dólares de sus bóvedas. Datos recopilados por Lookonchain indican que, en el último día, el actor malicioso ha gastado millones en USDC para adquirir 130.262 ETH, valorados en torno a 265 millones de dólares. Según la propia firma, el explotador de @DriftProtocol destinó otros 2,46 millones de USDC a comprar 1.195 ETH, elevando el total adquirido a 130.262 ETH (267 millones de dólares). En el momento de la publicación, Ethereum cotizaba en 2.038 dólares, con una caída cercana al 4% en el mismo periodo, de acuerdo con CoinGecko. El token nativo de Drift, DRIFT, se desplomó hasta 0,049 dólares, con un retroceso superior al 30% desde el ataque. Qué ocurrió en Drift Protocol La primera alerta llegó el 1 de abril, cuando el consejero delegado de Helius, Mert Mumtaz, advirtió a la comunidad de que Drift Protocol podría estar siendo explotado y pidió vigilar las posiciones. Poco después, PeckShield detectó salidas inusuales que implicaban a más de 15 tokens, confirmando un exploit de gran magnitud. Las pérdidas iniciales se estimaron en unos 270 millones de dólares. Aproximadamente dos horas más tarde, el equipo de Drift reconoció públicamente el incidente en X y suspendió todos los depósitos y retiradas. La compañía señaló que estaba coordinándose con firmas de seguridad, puentes y casas de cambio para contener el impacto. Cómo se ejecutó el ataque En su última actualización, Drift explicó que el atacante se centró en la capa humana y procedimental del multisig del Consejo de Seguridad, una estructura administrativa 2 de 5 que controla permisos críticos a nivel de protocolo. Según el proyecto, un actor malicioso obtuvo acceso no autorizado mediante un método novedoso que involucró "durable nonces", lo que permitió hacerse rápidamente con los poderes administrativos del Consejo de Seguridad. Preparación La operación se habría preparado durante varias semanas. Drift indica que se crearon cuentas de "durable nonce" en Solana ya el 23 de marzo para posibilitar la ejecución diferida de transacciones prefirmadas. Al obtener firmas de aprobación de al menos dos de los cinco miembros del Consejo de Seguridad, presuntamente mediante ingeniería social o presentando de forma engañosa el contenido de las transacciones, el atacante reunió la autorización necesaria para tomar el control administrativo. Durante ese periodo se abrieron cuatro cuentas de "durable nonce" el 23 de marzo: dos vinculadas a miembros existentes del Consejo de Seguridad y dos controladas por el atacante. Cuando Drift realizó una migración planificada del Consejo de Seguridad el 27 de marzo, el atacante ajustó su estrategia y creó una cuenta adicional el 30 de marzo asociada a un nuevo miembro del multisig. Ejecución Drift afirma que el ataque se ejecutó el 1 de abril, poco después de que el equipo completara una retirada de prueba legítima de su fondo de seguros. El atacante envió dos transacciones prefirmadas con "durable nonce" con apenas cuatro "slots" de diferencia en la red de Solana: la primera creó y aprobó una transferencia administrativa maliciosa; la segunda la aprobó y la ejecutó. Con el control total de los permisos del protocolo, el atacante introdujo un activo malicioso, eliminó todos los límites de retirada preconfigurados y drenó fondos mediante unas 31 transacciones en alrededor de 12 minutos. Entre los fondos afectados figuran depósitos en pools de préstamo y crédito, depósitos en bóvedas y activos destinados a la operativa. Drift confirmó que el fondo de seguros y los tokens DSOL no depositados directamente en la plataforma, incluidos los activos en staking con el validador de Drift, no se vieron afectados. Impacto financiero Antes del exploit, Drift Protocol registraba un valor total bloqueado (TVL) superior a 550 millones de dólares, lo que lo situaba entre las mayores aplicaciones DeFi de Solana, según DeFiLlama. En su máximo, el TVL alcanzó 1.300 millones de dólares. Tras el incidente, el TVL se desplomó hasta cerca de 247 millones. El token DRIFT, que cotizaba por encima de 0,07 dólares antes de la brecha, cayó hasta alrededor de 0,04 dólares, una bajada del 42% en 24 horas. Su capitalización de mercado se redujo de aproximadamente 41 millones a 25 millones de dólares. El exploit también impactó en unos 11 protocolos aguas abajo; por ejemplo, Ranger Finance afrontó una exposición estimada de 900.000 dólares. Qué es Drift Protocol Fundado en 2021, Drift se diferencia de los exchanges centralizados al operar íntegramente sobre la blockchain de Solana, con el objetivo de que los fondos permanezcan bajo control de los usuarios. En septiembre de 2024, la compañía captó 25 millones de dólares en una ronda Serie B liderada por Multicoin Capital, con participación adicional de Blockchain Capital, Primitive Ventures y Folius Ventures. La cofundadora Cindy Leow ha defendido la ambición de convertir Drift en el "Robinhood de las criptomonedas", con una oferta integrada de servicios financieros que incluye trading al contado, derivados y un mercado de predicción.