El protocolo de préstamos DeFi Drift fue hackeado en 10 segundos, con una pérdida superior a 200 millones de dólares, afectando a más de 15 proyectos.

Autor: Gu Yu, ChainCatcher

Aproximadamente a la 1 a. m. de hoy, el sector DeFi volvió a sufrir otro robo de gran escala: el protocolo de préstamos de Solana Drift fue atacado por hackers y, en solo 10 segundos, los hackers sustrajeron activos de usuarios por más de 220 millones de dólares.

Después del incidente, el token de Drift cayó más de un 40% en poco tiempo; actualmente su FDV es de alrededor de 44 millones de dólares. Debido a que se vieron implicados numerosos activos del ecosistema de Solana, tokens del ecosistema de Solana como SOL, JUP, etc., también registraron caídas anómalas de diferentes magnitudes.

Drift había sido uno de los mayores protocolos de préstamos del ecosistema de Solana; según RootData, el monto total de financiación acumulada de este protocolo supera los 52 millones de dólares. Entre los inversores de primera línea se incluyen Multicoin Capital, Polychain, Robot Ventures, Blockchain Capital, Ethereal Ventures, Jump Capital, etc.

Según análisis públicos, este robo de Drift guarda una estrecha relación con la adquisición ilegal del control de una dirección multisig; además, se suma la combinación de técnicas de ataque comunes, como el ataque de gobernanza y el ataque al oráculo. El atacante utilizó una sola clave de firma para completar todas las operaciones en una sola transacción: crear un mercado falso, manipular el oráculo y desactivar las restricciones de retiro. Entre todo ello, existe la posibilidad de que la filtración de la clave privada de la dirección multisig haya sido obra de un insider.

Las técnicas de ataque, tan recurrentes, y las medidas de prevención débiles por parte del equipo del proyecto vuelven a evidenciar la fragilidad del sector DeFi. Según los tuits del fundador de Chaos Labs, Omer Goldberg, y las interpretaciones relacionadas, a continuación se presenta un análisis detallado del proceso del robo:

Las primeras señales del incidente aparecieron hace una semana. Hace una semana, Drift trasladó los permisos de gestión del protocolo desde la antigua billetera multisig a una nueva billetera multisig. Dicha billetera fue creada por uno de los firmantes de la antigua multisig; no obstante, ese firmante no se añadió a la nueva billetera multisig.

El atacante aprovechó este fallo y primero presentó una propuesta en la antigua multisig para transferir los permisos de administrador de Drift a una nueva billetera (controlada por el atacante).

La nueva multisig configuró 5 firmantes: solo 1 provenía de la antigua y los otros 4 eran completamente nuevos. Las reglas eran extremadamente flexibles: bastaba con que 2/5 personas estuvieran de acuerdo (es decir, con la firma de 2 personas era suficiente), además de tener 0 segundos de bloqueo de tiempo (la propuesta se ejecutaba de inmediato tras su aprobación, sin ningún periodo de espera).

Esta madrugada, el único firmante antiguo que quedó presentó, mediante la nueva multisig, una propuesta: “Cambiar los permisos de administrador de Drift a la billetera que el atacante realmente controla”.

Unos segundos después, otro firmante nuevo firmó de inmediato, alcanzando fácilmente el umbral de 2/5.
Debido a la ausencia de bloqueo de tiempo, la propuesta se ejecutó instantáneamente y el atacante obtuvo el control total de los permisos de administrador.

Después, el atacante utilizó inmediatamente los permisos para crear un mercado spot de CVT en el protocolo Drift. El suministro total de este token es de aproximadamente 750 millones; el atacante posee 600 millones. A continuación, el atacante usó su propio oráculo SwitchboardOnDemand, que controlaba, y configuró que Drift leyera dicho oráculo.

Tras completar la operación, mediante 20 transacciones, el atacante elevó el precio de los tokens CVT, que en realidad casi no tenían valor, haciendo que los 600 millones de CVT que él había depositado parecieran valer varios cientos de millones de dólares. Con ello, el atacante obtuvo préstamos por activos con un valor aproximado de 2.2 -2.8 mil millones de dólares, incluyendo 417.2 millones de JLP (Jupiter LP token, con un valor de aproximadamente 1.55 mil millones de dólares), 51.61 millones de USDC, 164 cbBTC (con un valor de aproximadamente 11.29 millones de dólares), entre otros.

La estructura tipo “bloques” del rompecabezas de DeFi se había considerado la mayor ventaja del sector; y hoy, esa misma ventaja también ha ido propagando el riesgo, como fichas de dominó, hacia el ecosistema de Solana y hacia otros protocolos DeFi integrados con el mercado de préstamos de Drift.

Jupiter fue el mayor perjudicado dentro de esta crisis de seguridad. El mayor volumen de JLP robado provino de los activos LP centrales del mercado de contratos perpetuos de Jupiter. Este robo provocará una caída drástica de la liquidez del mercado de contratos perpetuos de Jupiter y desencadenará una reacción en cadena, como el retiro de fondos por pánico y la caída del token JUP.

Además, más de 15 protocolos DeFi como Perena, Project 0, Exponent, Carrot, Ranger, PiggyBank, Reflect, Elemental, Neutral Trade, Pyra, Fuse y XPlace publicaron mensajes confirmando que el incidente de robo de Drift los afectó en distintos grados, y algunas funciones de retiro ya se han pausado.

Pero, entre todos los incidentes de seguridad, los más afectados siguen siendo los usuarios: los continuos ataques de hackers vuelven a golpear una y otra vez la confianza de los usuarios en DeFi.

“Hoy no haré nada más; sacaré todo el dinero de los proyectos antiguos en cadena. En cuanto a los proyectos nuevos, a menos que los entiendas especialmente bien, no los pondré. Son tiempos difíciles, no pongas a prueba la naturaleza humana.” Después de perder más de 6000 dólares en este incidente, el conocido KOL “Tao’Ao Maestro Xiong” publicó lo siguiente.