Atacantes roban $285 millones de Drift mediante ingeniería social y posible conexión norcoreana

La plataforma de intercambio descentralizada Drift, basada en Solana, sufrió un ataque que resultó en la pérdida de aproximadamente $285 millones. Los atacantes lograron tomar el control administrativo del protocolo mediante una técnica sofisticada de ingeniería social relacionada con "nonces duraderos", una forma de pre-aprobar transacciones con anticipación. Lo preocupante es que las investigaciones apuntan a una posible conexión con Corea del Norte, un actor ya conocido por sus ciberataques financieros.

Cómo funciona el ataque

El ataque no explotó vulnerabilidades en el código de Drift (smart contracts), sino que se basó en engañar a los responsables de aprobar transacciones dentro de la plataforma (firmas multi-sig). Los atacantes usaron ingeniería social para conseguir que aprobaran transacciones maliciosas con antelación, utilizando un mecanismo llamado "durable nonce". Esto les permitió, en cuestión de minutos, tomar control total de los permisos administrativos del protocolo y desviar los fondos.

• Los atacantes crearon un activo digital falso llamado "CarbonVote Token" y lo hicieron aparecer como una garantía legítima de valor.
• Luego, manipularon los oráculos de precios de Drift para que asignaran a este token un valor inflado de cientos de millones de dólares.
• Finalmente, usaron este token ficticio como "colateral" para retirar fondos reales de la plataforma.

Posible conexión con Corea del Norte

Las empresas de análisis de blockchain Elliptic y TRM Labs han encontrado indicios que sugieren la participación de Corea del Norte en este ataque. Estos indicios incluyen:

• El uso de Tornado Cash, un mezclador de criptomonedas que dificulta el rastreo de fondos, en las etapas iniciales del ataque.
• Patrones de transferencia de fondos a través de diferentes blockchains (puentes) similares a los utilizados en otros ataques atribuidos a Corea del Norte.
• La velocidad y escala del lavado de dinero posterior al ataque.

Según Elliptic, de confirmarse, este sería el decimoctavo acto de robo de criptoactivos vinculado a Corea del Norte en lo que va del año, con más de $300 millones robados hasta la fecha. Se estima que, en los últimos años, Corea del Norte ha robado más de $6.5 mil millones en criptoactivos, utilizando estas ganancias para financiar sus programas de armas.

Qué significa esto para ti

Este incidente subraya la importancia de la seguridad en las plataformas de finanzas descentralizadas (DeFi) y la necesidad de estar alerta ante ataques de ingeniería social cada vez más sofisticados. Para los usuarios, esto significa investigar a fondo las plataformas que utilizan y ser extremadamente cautelosos con cualquier solicitud de aprobación de transacciones. Para las empresas, implica reforzar sus protocolos de seguridad, educar a sus empleados sobre las tácticas de ingeniería social y monitorear activamente las actividades sospechosas en sus plataformas.