Drift Protocol atribuye el hackeo de más de 280 millones de dólares a un exploit con "durable nonce"

Drift Protocol detalló que el ataque que vació más de 280 millones de dólares en criptoactivos se apoyó en el uso de "durable nonce" en Solana para prefirmar aprobaciones y ejecutar transacciones con retraso. La plataforma DeFi, con sede en Solana, calificó la maniobra de "novedosa" y sostuvo que permitió al atacante asumir el control de las facultades administrativas del Drift Security Council. La actividad sospechosa se detectó a primera hora del 1 de abril, cuando fondos salieron del monedero bóveda del DEX hacia una dirección de Solana. El movimiento comenzó con 41 millones de tokens JLP y después se extendió a otros activos. En ese momento, el exchange descentralizado suspendió depósitos y retiradas. El incidente, considerado el mayor hackeo cripto de 2026, fue descrito posteriormente como un ataque complejo y sofisticado. Tras las especulaciones iniciales sobre un posible compromiso de claves privadas, el protocolo aseguró que no hubo fallos en sus contratos inteligentes ni exposición de frases semilla. Según un informe preliminar, el atacante obtuvo aprobaciones de transacciones no autorizadas o tergiversadas mediante una combinación de cuentas "durable nonce" e ingeniería social, y más tarde utilizó esas aprobaciones prefirmadas para ejecutar el exploit, afectando a varios protocolos del ecosistema Solana. Los "durable nonces" son una función de Solana que evita que ciertas transacciones caduquen, lo que facilita la firma fuera de línea, la creación de operaciones diferidas y el envío posterior de transacciones ya prefirmadas. Entre los proyectos que reportaron exposición limitada o pausaron depósitos figuran Piggybank_fi, Ranger Finance, TradeNeutral, Elemental DeFi y Reflect Money, entre otros. El episodio también presionó al mercado: Solana cayó un 5% y el token llegó a tocar los 78 dólares hoy. El descenso se suma a la caída del 37% acumulada este año, mientras que el token DRIFT retrocedió un 25%. Drift señaló que la preparación del ataque se remonta al 23 de marzo, fecha en la que se configuró el primer nonce y el atacante habría logrado acceso al multisig. El informe indica que, de las cuatro cuentas nonce creadas entonces, el atacante controlaba dos y los miembros del Security Council las otras dos. Con ello, el actor malicioso habría pasado a controlar 2/5 de los firmantes del multisig, lo que le permitió firmar transacciones vinculadas a cuentas "durable nonce" y ejecutarlas más tarde. El protocolo añadió que el atacante mantuvo esa posición incluso tras una migración del multisig el 27 de marzo, motivada por cambios en la composición del consejo. Antes del golpe principal, se habría realizado una retirada de prueba desde el fondo de seguros. Después, el atacante completó una toma de control administrativa ejecutando transacciones prefirmadas con "durable nonce". Drift atribuyó el ataque a la combinación de transacciones "durable nonce" prefirmadas —que permiten ejecución diferida— y la obtención de aprobaciones de varios firmantes del multisig, "probablemente" mediante ingeniería social dirigida o tergiversación de transacciones. La firma indicó que coopera con empresas de seguridad, fuerzas del orden y otras partes para rastrear y congelar los activos robados. El caso ha generado críticas entre usuarios, que consideran especialmente arriesgado un umbral de aprobación de 2/5 para autorizar transacciones, al entender que facilitó el ataque.