$285 millones extraídos de @DriftProtocol en 12 minutos. 1 de abril. No es una broma. La mayoría de los análisis posteriores al ataque se detienen en "clave comprometida". Hubo dos de estas en 10 días. Ninguna ocurrió como la mayoría de la gente imagina. Aquí está el mecanismo real ↓ — ➠ Una Semana Antes del Hack: Drift Migró a un Nuevo Multisig La configuración: ▸ Umbral de 2 de 5 firmas ▸ Timelock de 0 segundos (ejecución instantánea, sin retraso) ▸ 4 monederos completamente nuevos ▸ 1 firmante heredado de la estructura anterior Ese firmante heredado era el muro portante. Cinco horas antes de T=0, el firmante heredado propuso cambiar la dirección administrativa de Drift. Un nuevo firmante co-firmó. Umbral alcanzado. Sin retraso. El control administrativo se transfirió instantáneamente. En ese momento, el atacante tenía autoridad ilimitada sobre todo el protocolo. — ➠ La Usaron en 12 Minutos En 31 transacciones, el atacante creó un mercado spot falso para el token CarbonVote (CVT), un token sin valor que mintió ellos mismos. Asignaron un oracle Switchboard que controlaban por completo, y lo manipularon para hacer que 500 millones de CVT parecieran valer cientos de millones en colateral real. Luego aumentaron los límites de retirada 20 veces en todos los mercados principales: ▸ $USDC de 25T a 500T ▸ Lo mismo para wETH, JLP, dSOL Todos los interruptores de seguridad del protocolo, desactivados en una sola transacción. — ➠ Luego Drenaron Bóveda JLP: de 41,7 millones a 133 restantes. 99,9997% desaparecido. La ruta del dinero: ▸ Bóveda Drift → monedero del drenador HkGz4KmoZ7 ▸ 9 transferencias de activos distintas → monedero lavador 8ubo4HbWJH ▸ Puenteado hacia ethereum a través de CCTP v2 de Circle y Wormhole Activos en esta única ruta de drenaje: ▸ 100,5M USDC en 4 lotes ▸ 100 WBTC enviados mediante Wormhole ▸ 5,64M USDT ▸ 5,25M USDS ▸ 164 cbBTC Drenaje total del protocolo en todas las rutas: $270M–$285M. — ➠ Circle no tomó ninguna acción de congelación. A pesar de que CCTP es su propio puente. A pesar de que esto ocurrió durante horas laborales en EE.UU. A pesar de que los monitores en cadena detectaron el exploit en tiempo real. @circle no tomó acciones inmediatas. Para contexto, Circle recientemente congeló más de 16 billeteras empresariales no relacionadas, pero no pudo actuar frente a un exploit de cifras de cientos de millones en curso. Haz que eso tenga sentido. — ➠ El Intel en Cadena El monedero drenador (HkG...ZES) fue financiado mediante Near Intents 8 días antes del hack. Luego permaneció completamente inactivo. Sin actividad alguna, hasta el momento en que se atacaron las bóvedas de Drift. El monedero lavador (8ub...Gxw y direcciones vinculadas) fue financiado solo un día antes del exploit, mediante Backpack. Backpack ejecuta KYC. Eso significa que un nombre real está asociado a esas billeteras. Este es el hilo más identificable de toda la operación, y representa un grave fallo de opsec. La dirección ETH receptora fue sembrada mediante @TornadoCash antes del exploit. La ruta de salida fue construida semanas o meses antes. Esa inconsistencia suele indicar múltiples actores con distintos niveles de seguridad operacional. También es el hilo más útil para los investigadores. — ➠ Compara Esto con @ResolvLabs Atacado aproximadamente 10 días antes. Sin ataque de oracle. Sin colateral falso. Una clave SERVICE_ROLE comprometida utilizada para mintear stablecoins USR sin respaldo directamente en el mercado. Ejecución diferente, mismo modo de fallo: una clave privilegiada, sin timelock, sin límites de tasa sobre lo que esa clave podía autorizar. Drift: clave administrativa, oracle, colateral falso, drenar bóvedas. Resolv: clave de servicio, mintear tokens sin respaldo, vender. Ambos tenían timelock cero. Ambos tenían claves administrativas con autoridad ilimitada. Ambos expusieron cientos de millones en fondos de usuarios a un único punto de fallo. — ➠ Si Tienes Fondos en Alguna de Estas Bóvedas de Estrategia de Drift Verifica tu posición ahora: AcePro, Algorithmica, ALT3 Capital, Circuit, Elemental, Equinox, Gauntlet, HaveMore, Knightrade, Kvants, M1, MetaEntropy, Neutral Trade, NX Finance, PrimeNumber, The Capital, Vectis, Vega Finance, ViXii. Actualmente, Drift ha detenido depósitos y retiradas. NFA. DYOR. Mantente a salvo.