Volver al Hub

El robo de $285M a Drift Protocol: Anatomía de un ataque de ingeniería social a la gobernanza DeFi

Imagen generada por IA para: El robo de $285M a Drift Protocol: Anatomía de un ataque de ingeniería social a la gobernanza DeFi

El panorama de las finanzas descentralizadas presenció uno de sus ataques más sofisticados en abril de 2026, cuando el exchange de futuros perpetuos Drift Protocol, basado en Solana, sufrió una devastadora pérdida de 285 millones de dólares. Lo que distingue a este exploit de los hackeos DeFi típicos es su naturaleza fundamental: en lugar de apuntar a vulnerabilidades de código, los atacantes ejecutaron una campaña de ingeniería social meticulosamente planificada contra los participantes humanos de la gobernanza del protocolo. Este incidente representa un cambio de paradigma en las amenazas de seguridad DeFi, demostrando que incluso las arquitecturas técnicas robustas permanecen vulnerables cuando se comprometen los elementos humanos.

Cronología del ataque: semanas de infiltración, minutos de ejecución

El análisis forense de seguridad revela que el ataque se desarrolló en tres fases distintas que abarcaron varias semanas. Durante la fase inicial de reconocimiento, los atacantes identificaron y perfilaron a miembros clave de la estructura de gobernanza de la organización autónoma descentralizada (DAO) de Drift Protocol. Estas personas ocupaban posiciones privilegiadas como firmantes de las carteras multisignatura del protocolo, que requerían múltiples aprobaciones para las transacciones.

En la segunda fase, los atacantes emplearon técnicas de phishing sofisticadas, suplantando a colaboradores legítimos del proyecto y miembros de la comunidad en varias plataformas de comunicación, incluyendo Discord, Telegram y sitios de networking profesional. A través de una ingeniería social persistente, lograron comprometer las claves privadas o credenciales de autenticación de al menos tres firmantes multisig. Los atacantes demostraron una paciencia notable, estableciendo relaciones de confianza durante períodos prolongados antes de realizar su movimiento.

La fase final de ejecución duró apenas minutos. Utilizando su acceso no autorizado, los atacantes presentaron una propuesta de gobernanza maliciosa para transferir fondos del tesoro. Explotaron la función de 'nonces duraderos' de Solana—un mecanismo diseñado para prevenir la expiración de transacciones—para asegurar que su propuesta maliciosa permaneciera válida a pesar de la congestión de la red o problemas de sincronización. Con los firmantes comprometidos aprobando la transacción, aproximadamente 285 millones de dólares en varias criptomonedas fueron drenados del tesoro de Drift Protocol a direcciones controladas por los atacantes.

Innovación técnica: armando los nonces duraderos

El uso de nonces duraderos por parte de los atacantes representa un vector de ataque novedoso en el ecosistema Solana. Típicamente, las transacciones de Solana incluyen un hash de bloque reciente para prevenir ataques de repetición, causando que las transacciones expiren si no se confirman rápidamente. Los nonces duraderos permiten que las transacciones hagan referencia a un valor nonce almacenado en lugar de un hash de bloque reciente, eliminando efectivamente la restricción de expiración.

Si bien esta función ayuda legítimamente a aplicaciones que requieren determinismo transaccional, los atacantes de Drift la convirtieron en un arma para asegurar que su propuesta de gobernanza maliciosa no expiraría mientras reunían las aprobaciones multisig necesarias. Este matiz técnico, combinado con la ingeniería social, creó una combinación de ataque potente que eludió los sistemas de monitoreo de seguridad tradicionales enfocados en vulnerabilidades de contratos inteligentes en lugar de la manipulación de procesos de gobernanza.

Atribución y metodología: vínculos con actores estatales

Firmas de inteligencia blockchain e investigadores de ciberseguridad han identificado fuertes conexiones entre la metodología del ataque a Drift y grupos de hacking conocidos patrocinados por el estado norcoreano (RPDC), particularmente Lazarus Group. Los patrones operativos—incluyendo técnicas de reconocimiento, sofisticación de ingeniería social y estrategias de lavado de fondos—se alinean con hechos criptográficos previos de la RPDC dirigidos a protocolos DeFi y puentes cross-chain.

Los atacantes emplearon técnicas avanzadas de ofuscación de fondos, utilizando múltiples carteras intermediarias y puentes cross-chain para oscurecer el rastro de activos robados. Los movimientos iniciales de fondos sugieren operaciones sofisticadas de lavado de dinero diseñadas para convertir criptomonedas robadas en activos menos rastreables o monedas fiduciarias, aunque los analistas blockchain continúan rastreando los fondos a través de múltiples redes.

Implicaciones para la seguridad de la gobernanza DeFi

El exploit de Drift Protocol expone debilidades fundamentales en los modelos actuales de gobernanza DeFi que dependen en gran medida de arreglos multisignatura sin protocolos de seguridad operacional correspondientes. Varias lecciones críticas emergen de este incidente:

  1. Vulnerabilidades centradas en humanos: Las medidas de seguridad técnicas no pueden compensar los elementos humanos comprometidos. Las DAO y protocolos descentralizados deben implementar capacitación integral en conciencia de seguridad, mandatos de autenticación multifactor y monitoreo conductual para participantes de gobernanza.
  1. Defectos en procesos de gobernanza: El ataque reveló debilidades en los flujos de trabajo de verificación y aprobación de propuestas. Los futuros sistemas de gobernanza pueden requerir ejecuciones con bloqueo de tiempo, mecanismos de pausa de emergencia y procesos de aprobación multi-etapa con períodos de enfriamiento entre etapas.
  1. Riesgos de características técnicas: Las características blockchain diseñadas para casos de uso legítimos, como los nonces duraderos, pueden ser convertidas en armas por atacantes sofisticados. Los desarrolladores de protocolos deben implementar salvaguardas adicionales cuando tales características interactúan con mecanismos de gobernanza.
  1. Modelos de amenazas internas: El ataque difumina las distinciones tradicionales entre amenazas externas e internas, ya que la ingeniería social convierte efectivamente a participantes legítimos en amenazas internas involuntarias. Los modelos de seguridad deben considerar escenarios de compromiso de credenciales.

Respuesta de la industria y estrategias de mitigación

Tras el ataque, el ecosistema DeFi más amplio ha iniciado varias mejoras de seguridad. Los protocolos principales están revisando sus estructuras de gobernanza, implementando módulos de seguridad de hardware para la gestión de claves y estableciendo una separación más clara de deberes entre firmantes. Algunos proyectos están explorando soluciones de identidad descentralizada y sistemas de prueba de conocimiento cero para verificar la autenticidad de los participantes sin exponer información personal vulnerable.

Los protocolos de seguros y auditores de seguridad están desarrollando nuevos marcos que abordan específicamente los riesgos de ingeniería social en procesos de gobernanza. Estos incluyen campañas de phishing simuladas para miembros de DAO, capacitación de seguridad obligatoria y sistemas de monitoreo de transacciones mejorados que marcan patrones inusuales de propuestas de gobernanza.

El equipo de Drift Protocol se ha comprometido con firmas forenses blockchain, agencias de aplicación de la ley y exchanges centralizados para rastrear y potencialmente congelar activos robados. También han anunciado planes para implementar un modelo de gobernanza revisado con controles de seguridad mejorados, aunque el protocolo enfrenta desafíos significativos para reconstruir la confianza del usuario.

Conclusión: una nueva era de desafíos de seguridad DeFi

El robo de 285 millones de dólares a Drift Protocol marca un momento decisivo en la seguridad DeFi, demostrando que los atacantes han evolucionado más allá de la explotación técnica para apuntar a los elementos humanos y procedimentales de los sistemas descentralizados. A medida que los protocolos DeFi gestionan un valor cada vez más sustancial, sus estructuras de gobernanza se convierten en objetivos atractivos para actores de amenazas sofisticados, incluidos grupos estatales.

Este incidente subraya la necesidad urgente de enfoques de seguridad holísticos que aborden vulnerabilidades técnicas, humanas y procedimentales simultáneamente. El futuro de la seguridad DeFi probablemente involucrará marcos de gobernanza más formalizados, prácticas de seguridad operacional de grado institucional y soluciones criptográficas innovadoras que reduzcan la dependencia de procesos de toma de decisiones humanos vulnerables.

Para los profesionales de la ciberseguridad, el ataque a Drift proporciona información crucial sobre vectores de ataque emergentes en la intersección de la tecnología blockchain, la gobernanza descentralizada y la ingeniería social. Sirve como un recordatorio contundente de que en los sistemas descentralizados, la seguridad de contratos inteligentes más sofisticada no puede proteger contra elementos humanos comprometidos—una lección que dará forma a las prácticas de seguridad DeFi en los años venideros.

Fuentes originales

NewsSearcher

Este artículo fue generado por nuestro sistema NewsSearcher de IA, que analiza y sintetiza información de múltiples fuentes confiables.

Inside the $280M Drift hack: weeks of setup, minutes to drain

Protos
Ver fuente

Drift Protocol's $285m hack exposes social engineering threat to Solana DeFi

Crypto News
Ver fuente

Drift Loses $285 Million in Durable Nonce Social Engineering Attack Linked to DPRK

The Hacker News
Ver fuente

⚠️ Fuentes utilizadas como referencia. CSRaid no se responsabiliza por el contenido de sitios externos.

Por Alvaro Salinas Cybersecurity Engineer
Ingeniería Social
Este artículo fue redactado con asistencia de IA y supervisado por nuestro equipo editorial.

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.