Cómo una función de Solana diseñada para la conveniencia permitió a los atacantes drenar más de 270 millones de dólares de Drift
Por Lola
Cómo una función de Solana condujo a un exploit de 270 millones de dólares en Drift
Un exploit reciente dirigido al protocolo Drift en la blockchain de Solana resultó en la pérdida de una cantidad significativa de fondos. Lo que es particularmente preocupante es que el exploit no provino de un fallo en los propios contratos inteligentes de Drift. En cambio, aprovechó una función legítima de Solana llamada "nonces duraderos", lo que destaca la compleja interacción entre las funcionalidades de la blockchain y las vulnerabilidades de seguridad.
Los nonces duraderos están destinados a proporcionar una forma más conveniente de administrar las transacciones en Solana. El ataque involucró la pre-firma de transferencias administrativas, potencialmente semanas antes de su ejecución. Al utilizar esta función, los atacantes pudieron eludir los mecanismos de seguridad de firma múltiple previstos por el protocolo, obteniendo efectivamente el control no autorizado y desviando fondos.
Punto de vista de un experto
Este incidente subraya un desafío crítico en la seguridad de la blockchain: el potencial de que funciones aparentemente benignas sean explotadas de maneras no deseadas. Si bien los nonces duraderos están diseñados para agilizar la gestión de transacciones, su uso en este caso demuestra una vulnerabilidad cuando se combinan con configuraciones de protocolo específicas y posibles debilidades en las prácticas de gestión de claves. El hecho de que los atacantes hayan eludido la seguridad de firma múltiple, que está diseñada para proteger contra puntos únicos de falla, es particularmente alarmante.
También plantea preguntas sobre la adecuación de las auditorías de seguridad y las evaluaciones de riesgos a las que se someten los protocolos. Si bien las auditorías pueden identificar vulnerabilidades de código específicas, es posible que no siempre capturen los riesgos emergentes que surgen de la interacción de diferentes funciones de la blockchain y las prácticas operativas. Un enfoque más holístico de la seguridad, que abarque tanto las revisiones técnicas del código como el análisis estratégico de riesgos, es crucial.
Qué observar
Las implicaciones de este exploit se extienden más allá de las pérdidas financieras inmediatas. Plantea preocupaciones más amplias sobre la seguridad de los protocolos de finanzas descentralizadas (DeFi) y el potencial de ataques similares dirigidos a otras plataformas que utilizan nonces duraderos o funciones comparables. Necesitamos monitorear de cerca cómo los desarrolladores de Solana y la comunidad DeFi en general responden a este incidente.
Específicamente, esté atento a:
- Actualizaciones de funciones de Solana: ¿Introducirá Solana cambios o restricciones en el uso de nonces duraderos para mitigar riesgos similares en el futuro?
- Auditorías de protocolos DeFi: Espere ver un mayor escrutinio y auditorías más integrales de los protocolos DeFi, con un mayor énfasis en el potencial de que las interacciones de funciones creen vulnerabilidades.
- Prácticas de gestión de claves: Tanto los protocolos como los usuarios deben reevaluar sus prácticas de gestión de claves para asegurarse de que sean lo suficientemente sólidas como para evitar el acceso y el control no autorizados.
El exploit de Drift sirve como un claro recordatorio de que la seguridad en el espacio blockchain es un proceso continuo, que requiere vigilancia y adaptación constantes frente a las amenazas en evolución y la creciente complejidad de los sistemas descentralizados.
Fuente: CoinDesk