Cómo una función de Solana diseñada para la conveniencia permitió a atacantes drenar más de 270 millones de dólares de Drift

Un ataque al protocolo DeFi Drift en Solana resultó en la pérdida de más de $270 millones en activos, utilizando no un error en el código, sino una función legítima de la blockchain llamada "durable nonces". El exploit permitió a los atacantes eludir las medidas de seguridad multisig del protocolo en cuestión de minutos.

El ataque se basó en la capacidad de pre-firmar transacciones administrativas semanas antes de su ejecución. Los "durable nonces" de Solana son una característica diseñada para evitar que las transacciones fallen si hay un cambio en el estado de la blockchain, ofreciendo mayor conveniencia y fiabilidad a los usuarios. Sin embargo, en este caso, fueron aprovechados para autorizar transferencias masivas sin necesidad de nuevas aprobaciones en el momento del ataque.

La vulnerabilidad no residía en el código de Drift, sino en la configuración de sus permisos administrativos. Los atacantes, que aparentemente tenían acceso a claves comprometidas, utilizaron los "durable nonces" para firmar transacciones que luego quedaron latentes, esperando el momento oportuno para ser ejecutadas y vaciar los fondos protegidos por un multisig, el cual fue ineficaz ante transacciones ya autorizadas.

Este incidente subraya un riesgo fundamental en la seguridad de los protocolos DeFi: la dependencia de mecanismos de firma únicos. La compleja interacción entre las funciones de la blockchain base y la gestión de claves de un protocolo puede crear puntos ciegos. El cierre implica que, más allá de las auditorías de código, los proyectos deben reevaluar continuamente la configuración de sus permisos y los riesgos asociados a características nativas de conveniencia, que pueden ser desviadas de su propósito original con consecuencias devastadoras.