Drift Protocol sufre un robo de 280 millones de dólares tras la toma hostil de su Security Council

## Introducción

El sector DeFi ha sido testigo de uno de los mayores ataques del año tras el robo de al menos 280 millones de dólares al Drift Protocol, una popular plataforma de trading descentralizado sobre Solana. El incidente, que implicó la toma de control de los privilegios administrativos del Security Council de Drift, pone de manifiesto la sofisticación creciente de los atacantes y la necesidad urgente de reforzar los mecanismos de gobierno y seguridad en el universo DeFi.

## Contexto del Incidente

Drift Protocol es una plataforma de derivados perpetuos que opera sobre la blockchain de Solana, permitiendo a los usuarios operar con apalancamiento sin intermediarios centralizados. Como ocurre en otros proyectos DeFi, el control de los contratos inteligentes y la aplicación de cambios críticos recaen en un Security Council, generalmente compuesto por varios miembros con privilegios administrativos. Este modelo busca equilibrar la descentralización con la capacidad de respuesta ante incidentes, pero también introduce riesgos si la gobernanza no está adecuadamente protegida.

El ataque, detectado el 10 de junio de 2024, fue orquestado tras una cuidadosa planificación que permitió al actor malicioso obtener el control mayoritario del Security Council. A través de una serie de movimientos coordinados y aparentemente legítimos, el atacante logró modificar parámetros críticos del protocolo, lo que desencadenó la transferencia masiva de fondos a direcciones bajo su control.

## Detalles Técnicos

### Vectores de Ataque

La investigación preliminar sugiere que el atacante explotó debilidades en el mecanismo de votación y rotación de miembros del Security Council. Al introducir cuentas controladas por él mismo, alcanzó la mayoría necesaria para aprobar cambios administrativos. Posteriormente, realizó una actualización de contrato inteligente (upgrade) que le otorgó permisos para transferir activos desde la tesorería y las reservas de Drift.

El vector de ataque se asocia a técnicas de «governance attack» o ataque de gobernanza, un patrón cada vez más frecuente en protocolos DeFi. En términos del marco MITRE ATT&CK, la táctica corresponde a “Abuse Elevation Control Mechanism” (TA0004) y la técnica específica a “Manipulation of Control Plane” (T1546).

### CVE y Exploits

Hasta el momento no se ha asignado un CVE específico, dado que el incidente no deriva de una vulnerabilidad de software tradicional, sino de fallos en el diseño de gobernanza y en la gestión de llaves administrativas multisig. No obstante, se han detectado scripts y herramientas personalizadas, similares a las utilizadas en ataques previos a Beanstalk (2022) y Mango Markets (2022).

No se ha confirmado el uso de frameworks públicos como Metasploit o Cobalt Strike, aunque se han compartido Indicadores de Compromiso (IoC) como direcciones de wallet implicadas y hashes de transacciones.

## Impacto y Riesgos

La magnitud económica del robo es notable: al menos 280 millones de dólares en activos digitales (SOL, USDC y tokens propios) han sido sustraídos, lo que representa en torno al 60% del valor total bloqueado (TVL) del protocolo. El ataque ha provocado una caída inmediata del token DRIFT superior al 40% y una fuga masiva de liquidez.

El riesgo para usuarios y plataformas similares es elevado, ya que los atacantes han demostrado una comprensión profunda de los mecanismos internos de gobernanza y han evadido durante horas los sistemas de monitorización y respuesta. Además, se teme que el incidente fomente ataques de imitación (“copycat”) en otros protocolos con sistemas multisig y Security Councils insuficientemente robustos.

## Medidas de Mitigación y Recomendaciones

Drift Protocol ha suspendido temporalmente las operaciones y ha solicitado la colaboración de exchanges centralizados para bloquear la transferencia de activos robados. Entre las medidas recomendadas para mitigar este tipo de ataques destacan:

– **Revisión y endurecimiento de los modelos de gobernanza**: Aumentar el número de firmas necesarias, introducir validaciones externas y auditorías continuas.
– **Supervisión on-chain proactiva**: Implementar sistemas de alerta ante cambios inesperados en la configuración de contratos y movimientos anómalos de fondos.
– **Segregación de permisos**: Limitar las capacidades de los Security Councils y emplear contratos de time-lock para operaciones críticas.
– **Auditoría independiente**: Realizar revisiones periódicas del código y de los mecanismos de gobernanza, preferiblemente por firmas externas especializadas.
– **Formación y concienciación**: Educar a los miembros de governance sobre los riesgos de ataques de ingeniería social y suplantación.
– **Cumplimiento normativo**: Revisar los requerimientos de la directiva NIS2 y las obligaciones de reporte en caso de incidentes graves, especialmente si hay usuarios europeos afectados.

## Opinión de Expertos

Especialistas en ciberseguridad y DeFi, como los equipos de Trail of Bits y Halborn, subrayan que la tendencia hacia ataques a la gobernanza demuestra que la seguridad en DeFi va mucho más allá del código: «No se trata solo de asegurar los smart contracts, sino de blindar el proceso de toma de decisiones y fortalecer la resiliencia frente a ataques internos», apunta Pablo Sanz, auditor de seguridad blockchain.

## Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad que supervisan inversiones o integraciones con protocolos DeFi, este incidente refuerza la importancia de exigir auditorías de gobernanza y no centrarse únicamente en la revisión de código. Los usuarios, por su parte, deben extremar la cautela y diversificar su exposición, priorizando protocolos con mecanismos de seguridad probados y transparencia en la gestión de riesgos.

El incidente también tendrá consecuencias en el cumplimiento de la GDPR y la NIS2, especialmente en cuanto a las obligaciones de notificación y protección de datos personales vinculados a las wallets afectadas.

## Conclusiones

El ataque al Drift Protocol marca un punto de inflexión en la seguridad DeFi, demostrando que los sistemas de gobernanza son tan vulnerables como los propios contratos inteligentes. Reforzar los controles, auditar procesos y fomentar la colaboración entre actores del sector serán claves para evitar nuevos incidentes de esta magnitud.

(Fuente: www.bleepingcomputer.com)