La empresa de seguridad en la cadena SlowMist publicó el 2 de abril un análisis técnico que revela las condiciones previas clave del hackeo del Protocolo Drift: aproximadamente una semana antes de que ocurriera el ataque, Drift ajustó el mecanismo de multi-firma, y no configuró de forma sincronizada un mecanismo de protección mediante timelock. Posteriormente, el atacante obtuvo permisos de administrador, falsificó los tokens CVT, manipuló el oráculo y desactivó el módulo de seguridad, extrayendo de manera sistemática activos de alto valor desde el fondo de liquidez.
Reconstrucción de los indicios del ataque: la modificación de multi-firma sin timelock es la vulnerabilidad central
(Fuente: SlowMist)
El análisis de SlowMist revela el nodo previo más alarmante de este ataque: aproximadamente una semana antes de que se produjera el robo, Drift ajustó el mecanismo de multi-firma al modo “2/5” sin establecer ningún timelock, e introdujo 4 nuevos firmantes.
El timelock es un complemento de seguridad necesario en el diseño de seguridad del protocolo para el mecanismo de multi-firma. Antes de ejecutar cambios de configuración de alto riesgo, establece un periodo de espera obligatorio (normalmente 24-48 horas o más), dando a la comunidad y a las entidades de seguridad tiempo suficiente para detectar anomalías e intervenir. La ausencia de timelock significa que, una vez que se robe la clave privada de los nuevos firmantes o se controle maliciosamente, el atacante puede ejecutar de inmediato operaciones a nivel de administrador sin ningún margen de espera.
La modificación de la arquitectura de multi-firma ocurrida una semana antes del robo (introducir 4 nuevos firmantes) es, por el momento en que se realizó, extremadamente sospechosa y es el punto de advertencia que más atención ha recibido en este análisis de seguridad.
Reconstrucción de los pasos del ataque: de la filtración de administrador a 105,969 ETH robados
Según el análisis técnico de SlowMist, una vez que el atacante obtuvo el control de administrador, ejecutó de forma sistemática el vaciado de activos siguiendo los pasos siguientes:
Falsificación de tokens CVT: falsificar tokens falsos dentro del protocolo, eludiendo la lógica normal de validación de activos
Manipulación del oráculo (Oracle): cambiar la fuente externa de precios del protocolo, distorsionando la fijación de precios en la cadena y creando condiciones favorables para la extracción posterior
Cierre de mecanismos de seguridad: desactivar los módulos internos de gestión de riesgos y límites de seguridad del protocolo, eliminando obstáculos para la extracción de activos
Transferencia de activos de alto valor: extraer de manera sistemática activos de alta liquidez desde el fondo de liquidez para completar el vaciado final de activos
En la actualidad, los fondos robados se han reunido principalmente en direcciones de Ethereum, con un total de aproximadamente 105,969 ETH (unos 226 millones de dólares), y SlowMist indica que el rastro de los flujos de estos fondos sigue en curso.
ZachXBT señala a Circle: críticas contundentes de la industria por USDC no congelado durante horas
El detective on-chain ZachXBT emitió una fuerte crítica a Circle el mismo día. Señaló que, durante el horario de operaciones en Estados Unidos mientras ocurría el hackeo de Drift, USDC por un monto de cientos de miles de dólares se conectó desde Solana hacia Ethereum mediante un protocolo de puente entre cadenas; todo el proceso “duró varias horas sin que nadie interviniera”, los fondos correspondientes ya se completaron todas las transferencias y Circle “de nuevo no tomó ninguna medida”.
ZachXBT también reveló otro problema previo de Circle: Circle congeló erróneamente más de 16 carteras calientes comerciales, y el proceso de des-congelación sigue en marcha hasta el momento. Señaló al CEO de Circle, Jeremy Allaire, y afirmó que el desempeño de Circle tuvo un impacto negativo en toda la industria cripto.
Estas acusaciones provocaron un amplio debate en la industria sobre qué tipo de responsabilidad proactiva deben asumir los emisores de stablecoins en incidentes de seguridad.
Preguntas frecuentes
¿Por qué no configurar un timelock al modificar multi-firma es el problema central de este ataque?
El timelock es un componente clave de seguridad del mecanismo de multi-firma; establece un periodo de espera obligatorio antes de ejecutar operaciones de alto nivel de permisos, dando a la comunidad y a las entidades de seguridad tiempo para detectar anomalías y tomar medidas. Cuando Drift ajustó la arquitectura de multi-firma, no configuró un timelock, lo que significa que, si las credenciales de los firmantes añadidos se filtran, el atacante puede ejecutar operaciones de administrador inmediatamente, eludiendo la última línea de defensa de la supervisión comunitaria. El momento de la modificación que introdujo 4 nuevos firmantes una semana antes del robo es la duda más relevante en la investigación actual.
¿Qué responsabilidad debería asumir Circle en este incidente?
Las críticas de ZachXBT apuntan a la falta de monitoreo e intervención inmediatos de Circle durante el gran proceso de transferencia de USDC entre cadenas. Como emisor de USDC, Circle tiene la capacidad técnica de congelar las direcciones involucradas, pero no tomó medidas durante el proceso de transferencia de fondos de varias horas. Esta controversia toca el alcance de la responsabilidad de intervención proactiva de los emisores de stablecoins en incidentes de seguridad DeFi, y es el tema central que actualmente se comenta mucho en la industria.
¿Cuál es el significado técnico de la combinación de falsificar tokens CVT y manipular el oráculo?
La falsificación de tokens CVT permite que el atacante fabrique dentro del protocolo liquidez o colateral falsos; la manipulación del oráculo hace que el protocolo use datos de mercado distorsionados al fijar precios. Al combinarse, hacen que el protocolo “piense” que existe suficiente soporte de colateral y, con ello, permitan al atacante extraer activos muy por encima de lo que realmente debería recibir. Es una combinación clásica en ataques de contratos inteligentes y ha aparecido en múltiples casos de robo de DeFi.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Kelp realiza una actualización integral del puente entre cadenas en dos semanas y ether.fi endurece WeETH al mismo tiempo
Tras el hackeo de un puente de interoperabilidad de rsETH el 18 de abril, dos semanas después, Kelp completó una actualización el 29/4: los validadores el 4/4, 64 confirmaciones de bloque, topología en hub-and-spoke y los mensajes entre cadenas deben pasar obligatoriamente por la red principal de Ethereum como intermediaria. ether.fi también endureció weETH al mismo tiempo y añadió una donación de 5.000 ETH de DeFi United. DeFi United movilizó más de 70.000 ETH para fondos de rescate, y los tipos de interés del mercado en Aave bajaron de forma notable; pero los atacantes aún conservan alrededor de 107.000 rsETH pendientes de liquidación, y se requiere una recuperación mediante gobernanza y un proceso tipo comité.
ChainNewsAbmediaHace17m
Wasabi sufre hack por 2,9 millones de dólares: se filtró la clave privada del administrador y el contrato fue modificado a una versión maliciosa
El protocolo DeFi de derivados Wasabi Protocol sufrió el 4/30 una filtración de llaves privadas del administrador; el atacante obtuvo el ADMIN_ROLE a través del Deployer EOA y luego, usando el mecanismo de actualización UUPS, reemplazó los perp vaults y LongPool por versiones maliciosas, extrayendo fondos directamente. CertiK estima una pérdida de alrededor de 2,9 millones de dólares; el impacto abarca la red principal de Ethereum y Base. Wasabi ya anunció la suspensión de las interacciones, y Virtuals Protocol también congeló las garantías relacionadas con Wasabi. Este incidente pone de relieve el riesgo que supone la seguridad de las llaves privadas en el ecosistema aguas abajo.
ChainNewsAbmediahace1h
WasabiCard aclara que no tiene ninguna asociación con Wasabi Protocol y Wasabi Wallet el 30 de abril
Según BlockBeats, WasabiCard emitió un comunicado de seguridad el 30 de abril aclarando que no tiene ninguna afiliación con Wasabi Protocol, Wasabi Wallet ni con proyectos e instituciones relacionados. La plataforma se asocia con Safeheron para servicios de billetera de custodia y colabora con un auditor de seguridad
GateNewshace3h
La fuerza de tareas global dirigida por el FBI detiene a 276 personas en estafas cripto de “engorde de cerdos” y desmantela 9 centros
De acuerdo con el Departamento de Justicia de EE. UU., la fuerza de tareas global liderada por el FBI arrestó a 276 sospechosos y desmanteló nueve centros de estafa de criptomonedas el miércoles. La policía de Dubái arrestó a 275 personas, y tres fueron acusadas en California por cargos de fraude electrónico y lavado de dinero. Las autoridades tailandesas arrestaron a un sospe
GateNewshace4h
BlockSec detecta 5,15 millones de USD en flujos anómalos de fondos en el protocolo Wasabi el 30 de abril
Según BlockSec Phalcon, el 30 de abril Wasabi Protocol experimentó una serie de transacciones anómalas en las cadenas Ethereum y Base, con flujos totales de fondos anómalos que alcanzaron aproximadamente 5,15 millones de dólares. El seguimiento inicial reveló que las cuentas financiadas por Tornado Cash posteriormente recibieron la concesión de AD
GateNewshace4h
