El DEX Drift en Solana reportó un incidente de seguridad el 1 de abril de 2026, con pérdidas estimadas en 285 millones de dólares. El ataque, atribuido a un actor vinculado a Corea del Norte, no explotó un bug en el contrato inteligente. Se utilizó ingeniería social para comprometer claves y autorizar una transacción maliciosa, eludiendo los mecanismos de seguridad de gobierno del protocolo.
El vector de ataque: durable nonces y la vulnerabilidad del proceso de gobierno 🔍
El atacante obtuvo acceso a las claves privadas necesarias para firmar transacciones con durable nonces, una característica de Solana que permite que una transacción permanezca válida fuera del plazo habitual. Esto permitió aprobar una operación maliciosa sin respetar los periodos de timelock del Consejo de Seguridad. La falla estuvo en el proceso de actualización de gobierno, donde la custodia de esas claves fue comprometida mediante engaño a personas con acceso.
Timelock? Más como 'Time-unlocked' gracias a un phishing 🎣
Parece que los timelocks más largos no sirven de mucho cuando la llave maestra cae en manos equivocadas por un correo electrónico convincente. El protocolo tenía las cerraduras de tiempo, pero los atacantes se colaron por la ventana de la oficina del administrador. Una lección clara: la cadena de confianza humana sigue siendo el eslabón más débil, y a veces el más phisheable.