La empresa de seguridad en la cadena SlowMist publicó el 2 de abril un análisis técnico que revela las condiciones previas clave del hackeo del Protocolo Drift: aproximadamente una semana antes de que ocurriera el ataque, Drift ajustó el mecanismo de multi-firma, y no configuró de forma sincronizada un mecanismo de protección mediante timelock. Posteriormente, el atacante obtuvo permisos de administrador, falsificó los tokens CVT, manipuló el oráculo y desactivó el módulo de seguridad, extrayendo de manera sistemática activos de alto valor desde el fondo de liquidez.
Reconstrucción de los indicios del ataque: la modificación de multi-firma sin timelock es la vulnerabilidad central
(Fuente: SlowMist)
El análisis de SlowMist revela el nodo previo más alarmante de este ataque: aproximadamente una semana antes de que se produjera el robo, Drift ajustó el mecanismo de multi-firma al modo “2/5” sin establecer ningún timelock, e introdujo 4 nuevos firmantes.
El timelock es un complemento de seguridad necesario en el diseño de seguridad del protocolo para el mecanismo de multi-firma. Antes de ejecutar cambios de configuración de alto riesgo, establece un periodo de espera obligatorio (normalmente 24-48 horas o más), dando a la comunidad y a las entidades de seguridad tiempo suficiente para detectar anomalías e intervenir. La ausencia de timelock significa que, una vez que se robe la clave privada de los nuevos firmantes o se controle maliciosamente, el atacante puede ejecutar de inmediato operaciones a nivel de administrador sin ningún margen de espera.
La modificación de la arquitectura de multi-firma ocurrida una semana antes del robo (introducir 4 nuevos firmantes) es, por el momento en que se realizó, extremadamente sospechosa y es el punto de advertencia que más atención ha recibido en este análisis de seguridad.
Reconstrucción de los pasos del ataque: de la filtración de administrador a 105,969 ETH robados
Según el análisis técnico de SlowMist, una vez que el atacante obtuvo el control de administrador, ejecutó de forma sistemática el vaciado de activos siguiendo los pasos siguientes:
Falsificación de tokens CVT: falsificar tokens falsos dentro del protocolo, eludiendo la lógica normal de validación de activos
Manipulación del oráculo (Oracle): cambiar la fuente externa de precios del protocolo, distorsionando la fijación de precios en la cadena y creando condiciones favorables para la extracción posterior
Cierre de mecanismos de seguridad: desactivar los módulos internos de gestión de riesgos y límites de seguridad del protocolo, eliminando obstáculos para la extracción de activos
Transferencia de activos de alto valor: extraer de manera sistemática activos de alta liquidez desde el fondo de liquidez para completar el vaciado final de activos
En la actualidad, los fondos robados se han reunido principalmente en direcciones de Ethereum, con un total de aproximadamente 105,969 ETH (unos 226 millones de dólares), y SlowMist indica que el rastro de los flujos de estos fondos sigue en curso.
ZachXBT señala a Circle: críticas contundentes de la industria por USDC no congelado durante horas
El detective on-chain ZachXBT emitió una fuerte crítica a Circle el mismo día. Señaló que, durante el horario de operaciones en Estados Unidos mientras ocurría el hackeo de Drift, USDC por un monto de cientos de miles de dólares se conectó desde Solana hacia Ethereum mediante un protocolo de puente entre cadenas; todo el proceso “duró varias horas sin que nadie interviniera”, los fondos correspondientes ya se completaron todas las transferencias y Circle “de nuevo no tomó ninguna medida”.
ZachXBT también reveló otro problema previo de Circle: Circle congeló erróneamente más de 16 carteras calientes comerciales, y el proceso de des-congelación sigue en marcha hasta el momento. Señaló al CEO de Circle, Jeremy Allaire, y afirmó que el desempeño de Circle tuvo un impacto negativo en toda la industria cripto.
Estas acusaciones provocaron un amplio debate en la industria sobre qué tipo de responsabilidad proactiva deben asumir los emisores de stablecoins en incidentes de seguridad.
Preguntas frecuentes
¿Por qué no configurar un timelock al modificar multi-firma es el problema central de este ataque?
El timelock es un componente clave de seguridad del mecanismo de multi-firma; establece un periodo de espera obligatorio antes de ejecutar operaciones de alto nivel de permisos, dando a la comunidad y a las entidades de seguridad tiempo para detectar anomalías y tomar medidas. Cuando Drift ajustó la arquitectura de multi-firma, no configuró un timelock, lo que significa que, si las credenciales de los firmantes añadidos se filtran, el atacante puede ejecutar operaciones de administrador inmediatamente, eludiendo la última línea de defensa de la supervisión comunitaria. El momento de la modificación que introdujo 4 nuevos firmantes una semana antes del robo es la duda más relevante en la investigación actual.
¿Qué responsabilidad debería asumir Circle en este incidente?
Las críticas de ZachXBT apuntan a la falta de monitoreo e intervención inmediatos de Circle durante el gran proceso de transferencia de USDC entre cadenas. Como emisor de USDC, Circle tiene la capacidad técnica de congelar las direcciones involucradas, pero no tomó medidas durante el proceso de transferencia de fondos de varias horas. Esta controversia toca el alcance de la responsabilidad de intervención proactiva de los emisores de stablecoins en incidentes de seguridad DeFi, y es el tema central que actualmente se comenta mucho en la industria.
¿Cuál es el significado técnico de la combinación de falsificar tokens CVT y manipular el oráculo?
La falsificación de tokens CVT permite que el atacante fabrique dentro del protocolo liquidez o colateral falsos; la manipulación del oráculo hace que el protocolo use datos de mercado distorsionados al fijar precios. Al combinarse, hacen que el protocolo “piense” que existe suficiente soporte de colateral y, con ello, permitan al atacante extraer activos muy por encima de lo que realmente debería recibir. Es una combinación clásica en ataques de contratos inteligentes y ha aparecido en múltiples casos de robo de DeFi.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Rhea Finance sufre un ataque de Oracle y pierde 18,4 millones de dólares: ZachXBT advierte; Tether congela 4,34 millones de USDT; el atacante devuelve parte de los fondos
Rhea Finance sufrió un ataque de manipulación de oráculos en NEAR Protocol, con pérdidas de hasta 18,4 millones de dólares, el doble de la estimación inicial. El atacante manipuló los precios de los tokens falsos, provocando errores en la valoración de los activos en garantía. Tether congeló 4,34 millones de USDT; el atacante devolvió aproximadamente 3,5 millones de dólares. Hasta ahora, se han recuperado más de 7,8 millones de dólares, lo que subraya la importancia de la seguridad de los oráculos.
ChainNewsAbmediahace2h
DNS de eth.limo bajo ataque: Vitalik insta a los usuarios a pausar el acceso y cambiar a IPFS
Vitalik Buterin advirtió el 18 de abril sobre un ataque al registrador de DNS de eth.limo, instando a los usuarios a evitar acceder a vitalik.eth.limo y a las páginas relacionadas. Recomendó usar IPFS como alternativa hasta que se resuelva el problema.
GateNewshace2h
El intercambio sancionado Grinex es golpeado por un hack de $13.7M; culpa a servicios de inteligencia extranjeros
Grinex, un intercambio de criptomonedas rublo sancionado, ha detenido sus operaciones debido a un ciberataque que robó más de $13.74 millones en USDT. Se cree que el ataque involucra a actores a nivel estatal con el objetivo de desestabilizar el sistema financiero de Rusia. Grinex está cooperando con las fuerzas del orden, pero no tiene un calendario para reanudar los servicios.
Coinpediahace10h
Figure afronta acusaciones de vendedor en corto por afirmaciones de integración blockchain; acciones de FIGR caen 53% desde el máximo de enero
Figure Technology Solutions enfrentó acusaciones de Morpheus Research por exagerar su uso de la tecnología blockchain, lo que provocó una caída significativa en el precio de sus acciones. Figure defendió sus operaciones, destacando sus funciones de activos digitales y sólidos indicadores de desempeño.
GateNewshace17h
休斯敦加密诈骗犯因 $20M Meta-1 Coin 诈骗获判 23 年
罗伯特·邓拉普(Robert Dunlap),一名休斯敦企业家,被判处 $20 百万美元的加密货币诈骗罪刑,涉及伪造资产和欺骗性手段,影响了超过 1,000 名受害者。他的案件反映出与加密相关的网络犯罪总体上升的趋势。
GateNewshace22h
SlowMist advierte sobre un ataque de phishing activo con software falso de "Harmony Voice"
El equipo de seguridad de SlowMist ha advertido sobre una campaña de ingeniería social dirigida a usuarios de criptomonedas. Los estafadores se hacen pasar por socios del proyecto para engañar a los usuarios e intentar que descarguen una aplicación maliciosa disfrazada como una herramienta de traducción. Se recomienda a los usuarios verificar la autenticidad del software.
GateNewshace23h
