El protocolo de préstamos DeFi Drift fue hackeado en 10 segundos, con una pérdida superior a 200 millones de dólares, afectando a más de 15 proyectos.

作者：谷昱，ChainCatcher

Aproximadamente a la 1 a.m. de hoy, el ecosistema DeFi volvió a presenciar otro incidente de robo de gran escala: el protocolo de préstamos de Solana Drift fue atacado por hackers, y más de 220 millones de dólares en activos de usuarios fueron robados por los atacantes en apenas diez segundos.

Después del incidente, el token de Drift cayó más de 40% en poco tiempo; actualmente su FDV ronda los 44 millones de dólares. Debido a que están involucrados muchos activos del ecosistema de Solana, tokens del ecosistema como SOL y JUP registraron caídas anómalas en distintos grados.

Drift era previamente uno de los protocolos de préstamos más grandes del ecosistema de Solana. Según RootData, el monto de financiación acumulado de este protocolo supera los 52 millones de dólares, y entre los inversores se encuentran firmas de primera línea como Multicoin Capital, Polychain, Robot Ventures, Blockchain Capital, Ethereal Ventures, Jump Capital, etc.

Según análisis públicos, este robo de Drift guarda una estrecha relación con la adquisición ilegal del control de una dirección multisig, además de sumarse a métodos de ataque comunes como ataques de gobernanza y ataques a oráculos. El atacante utilizó una única clave de firma para completar todas las operaciones en una sola transacción: crear un mercado falso, manipular el oráculo y desactivar las restricciones de retiro. Entre ellas, existe la posibilidad de que la filtración de la clave privada del multisig haya sido obra de un interno.

Los patrones de ataque que se han visto una y otra vez, junto con las débiles medidas de prevención por parte del equipo del proyecto, vuelven a poner de manifiesto la fragilidad del sector DeFi. Según un tuit del fundador de Chaos Labs, Omer Goldberg, y las interpretaciones relacionadas, a continuación se presenta un análisis detallado del proceso del robo:

La primera señal del incidente ocurrió hace una semana. Hace una semana, Drift transfirió los permisos de administración del protocolo desde el antiguo monedero multisig a un nuevo monedero multisig. Este nuevo monedero multisig fue creado por uno de los firmantes del multisig anterior, pero ese firmante no se agregó a sí mismo en el nuevo multisig.

El atacante aprovechó este vacío: primero presentó una propuesta en el multisig antiguo para transferir los permisos de administrador de Drift a una nueva cartera (controlada por el atacante).

El nuevo multisig configuró 5 firmantes: solo 1 provenía del multisig antiguo; los otros 4 eran totalmente nuevos. Las reglas eran extremadamente laxas: bastaba con que 2 de 5 personas estuvieran de acuerdo (es decir, con que dos personas firmaran era suficiente), y además no había bloqueo de tiempo de 0 segundos (la propuesta se ejecutaba inmediatamente tras aprobarse, sin ningún periodo de espera).

Esta madrugada, el único firmante antiguo restante, usando el nuevo multisig, presentó una propuesta: “Cambiar los permisos de administrador de Drift a la cartera que el atacante controla de verdad”.

A los pocos segundos, otro firmante nuevo se sumó de inmediato para firmar, alcanzando fácilmente el umbral de 2/5. Debido a que no había bloqueo de tiempo, la propuesta se ejecutó instantáneamente, y el atacante obtuvo el control total de los permisos de administrador.

Después, el atacante utilizó de inmediato los permisos para crear en el protocolo Drift un mercado spot de CVT. La oferta total de este token es de aproximadamente 750 millones; el atacante posee 600 millones. A continuación, el atacante usó el oráculo SwitchboardOnDemand que controla y configuró a Drift para que leyera ese oráculo.

Tras completar la operación, mediante 20 operaciones en cadena (transacciones), el atacante llevó el precio de los tokens CVT —que en principio casi no valían nada— hacia arriba, haciendo que los 600 millones de CVT que él había depositado se vieran con un valor de varios cientos de millones de dólares según el oráculo. De esta manera, el atacante pidió prestados activos por un valor aproximado de 220 a 280 millones de dólares, incluidos 41,72 millones de JLP (Jupiter LP token, con un valor de alrededor de 155 millones de dólares), 51,61 millones de USDC, 164 cbBTC (valor de alrededor de 11,29 millones de dólares), etc.

La estructura tipo bloques de Lego de DeFi había sido considerada durante mucho tiempo la mayor ventaja del sector; y hoy, esa ventaja también se ha ido transmitiendo el riesgo al ecosistema de Solana, como si fueran fichas de dominó, hacia otros protocolos DeFi integrados con el mercado de préstamos Drifi.

Jupiter es el mayor damnificado de esta crisis de seguridad: la mayor cantidad de JLP robada es el activo LP central del mercado de contratos perpetuos de Jupiter. Este robo hará que la liquidez del mercado de contratos perpetuos de Jupiter caiga de forma significativa, además de desencadenar reacciones en cadena, como pánico y retiros de fondos y la caída del token JUP.

Además, más de 15 protocolos DeFi como Perena, Project 0, Exponent, Carrot, Ranger, PiggyBank, Reflect, Elemental, Neutral Trade, Pyra, Fuse y XPlace publicaron mensajes para confirmar que han resultado afectados en distintos grados por el evento de robo de Drift, y en parte de ellos la funcionalidad de retiros ya ha sido suspendida.

Pero, entre todos los incidentes de seguridad, el grupo más afectado siguen siendo los usuarios: los continuos ataques de hackers golpean repetidamente la confianza de los usuarios en DeFi.

“Hoy no hago nada más; saco todo el dinero de los proyectos antiguos de todas las cadenas. En cuanto a los proyectos nuevos, a menos que los conozcas especialmente, no los pongo. Es un mal momento, no prueben la naturaleza humana”. Después de sufrir pérdidas de más de 6000 dólares en este incidente, el conocido KOL 土澳大师兄 publicó lo siguiente.