Ataque masivo a Drift Protocol: robados 285 millones de dólares en un exploit de nonces duraderos
Introducción
El pasado 1 de abril de 2026, Drift Protocol, uno de los principales exchanges descentralizados (DEX) basados en Solana, sufrió un grave incidente de seguridad que resultó en la sustracción de aproximadamente 285 millones de dólares. El ataque, que explotó una vulnerabilidad poco convencional relacionada con el mecanismo de nonces duraderos en la blockchain de Solana, ha puesto en alerta a toda la comunidad DeFi y resalta la sofisticación creciente de las amenazas sobre contratos inteligentes y plataformas descentralizadas.
Contexto del Incidente
Drift Protocol opera sobre la blockchain de Solana y ofrece servicios de trading descentralizado, incluyendo derivados y préstamos. Con un volumen diario que superaba los 500 millones de dólares y una base de usuarios de decenas de miles, Drift se había consolidado como un pilar del ecosistema DeFi de Solana. La plataforma basa su gobernanza en un Security Council, que ostenta privilegios administrativos críticos para la gestión de emergencias y actualizaciones de contratos inteligentes. Precisamente, este vector de gobierno ha sido el objetivo del ataque.
Detalles Técnicos del Exploit
Según la información facilitada por el equipo de Drift, el atacante aprovechó una vulnerabilidad relacionada con los “durable nonces” de Solana, un mecanismo diseñado para permitir la ejecución de transacciones más allá de los límites temporales convencionales de la red. Mediante la manipulación de estos nonces, el actor malicioso consiguió eludir las comprobaciones habituales de replay protection y forzar la ejecución de transacciones aparentemente legítimas, pero diseñadas para escalar privilegios y tomar control del Security Council.
La vulnerabilidad explotada no había sido documentada previamente y no existía un CVE asignado al momento del incidente, lo que indica la naturaleza “zero-day” del ataque. Para la explotación, se sospecha que el atacante utilizó herramientas avanzadas de scripting y frameworks personalizados, aunque no se ha confirmado el uso de kits conocidos como Metasploit o Cobalt Strike. Los TTPs (Tactics, Techniques and Procedures) identificados se alinean con los descritos en MITRE ATT&CK bajo categorías como “Privilege Escalation” (T1068) y “Exploitation for Privilege Escalation” (T1068.001), así como “Abuse Elevation Control Mechanism”.
Entre los principales Indicadores de Compromiso (IoC) identificados destacan:
– Transacciones firmadas con nonces duraderos no expirados.
– Acceso irregular al contrato de gobernanza desde direcciones asociadas a pools de mixing conocidos.
– Drenaje secuencial y automatizado de liquidez de los principales pools de Drift.
Impacto y Riesgos
El impacto financiero asciende a 285 millones de dólares en activos digitales, lo que representa aproximadamente el 40% del Total Value Locked (TVL) de Drift antes del incidente. Los fondos sustraídos incluyen SOL, USDC y otros tokens nativos y sintéticos de la plataforma. El ataque ha tenido un efecto disruptivo inmediato sobre la confianza de los usuarios y ha provocado una caída del 60% en el volumen de operaciones en las horas siguientes al evento.
A nivel técnico, la toma de control del Security Council supone un riesgo sistémico para la integridad del protocolo, ya que habilita al atacante para modificar parámetros críticos, pausar mercados o alterar la lógica de liquidaciones. Además, la sofisticación del exploit pone de manifiesto la existencia de posibles vulnerabilidades similares en otras plataformas basadas en Solana que implementan mecanismos de nonces duraderos.
Medidas de Mitigación y Recomendaciones
Tras la detección del ataque, el equipo de Drift procedió a pausar inmediatamente todos los contratos inteligentes y deshabilitar el acceso administrativo al Security Council. Se recomienda a todos los operadores de DEX sobre Solana:
– Auditar en profundidad las implementaciones de durable nonces en sus contratos.
– Limitar al máximo los privilegios del Security Council y adoptar mecanismos de multi-firma.
– Implementar sistemas de monitorización en tiempo real para detectar patrones anómalos de uso de nonces y privilegios administrativos.
– Actualizar las dependencias de contratos y librerías a versiones revisadas y auditadas post-ataque.
– Informar de cualquier incidencia a las autoridades competentes bajo el marco de NIS2 y GDPR, en caso de afectación a usuarios europeos.
Opinión de Expertos
Analistas de ciberseguridad como Pablo González (ElevenPaths) y miembros de Solana Foundation han coincidido en señalar que “los mecanismos de control de privilegios en DeFi suelen ser el eslabón débil, especialmente cuando se combinan con componentes de baja madurez como los nonces duraderos”. Se subraya la necesidad de una mayor inversión en auditorías de seguridad específicas para Solana y una revisión transversal de los patrones de gobernanza en smart contracts.
Implicaciones para Empresas y Usuarios
El incidente de Drift Protocol debe servir como advertencia para todo el ecosistema DeFi, especialmente para empresas y equipos técnicos que operan sobre blockchains de alta velocidad como Solana. Desde el punto de vista regulatorio, la sustracción masiva de fondos podría derivar en investigaciones por parte de autoridades como la CNMV o la ESMA, especialmente si se demuestra exposición de usuarios europeos. Las empresas afectadas deberán revisar sus procedimientos de respuesta a incidentes y reforzar la formación en detección de ataques avanzados.
Conclusiones
El ataque a Drift Protocol pone de manifiesto cómo la innovación en DeFi puede ir acompañada de nuevos riesgos técnicos y de gobernanza. La explotación de nonces duraderos en Solana revela la necesidad de una vigilancia constante y de adoptar enfoques “zero trust” incluso en entornos on-chain. La rápida respuesta y la transparencia en la comunicación serán claves para restablecer la confianza en el ecosistema, mientras se refuerzan las auditorías y se desarrollan mejores prácticas adaptadas a las características específicas de cada blockchain.
(Fuente: feeds.feedburner.com)