Especialistas en blockchain señalaron varios indicios que apuntan a la participación de un grupo de hackers: las operaciones se realizaron en días laborables y dentro de una franja horaria que coincide con la jornada de trabajo en Pionyang. Además, el patrón del ataque recordó a las tácticas asociadas con Lazarus: uso de Tornado Cash en la fase preparatoria, técnicas de ingeniería social, movimiento acelerado de fondos entre distintas cadenas con énfasis en Ethereum y posterior conservación de los activos robados.
De acuerdo con Elliptic, el ataque contra Drift se convirtió en la decimoctava operación atribuida a Lazarus en lo que va del año.
Los investigadores no hallaron fallos en el código, señales de compromiso de claves privadas ni manipulación de oráculos. Por eso, los expertos en ciberseguridad empezaron a inclinarse por la hipótesis de un ataque de phishing que habría permitido comprometer la clave de un administrador. Esa misma versión fue planteada también por Lily Liu, presidenta de la fundación de apoyo a la red Solana, y por Vibhu Norby, fundador de la plataforma DRiP.
Más tarde se supo que los atacantes aprovecharon en Solana la función durable nonces. En esta red, cada transacción incorpora normalmente una marca temporal válida durante unos 60 a 90 segundos, lo que confirma que la operación fue creada recientemente. Si no se envía dentro de ese plazo, deja de ser válida. Este mecanismo existe para impedir la retransmisión de transacciones antiguas.
El uso de durable nonces elimina esa limitación y permite que la transacción siga siendo válida hasta que alguien la envíe a la red. En la práctica, una operación firmada hoy puede ejecutarse una semana o incluso un mes después. Quien la firmó, además, no puede retirar esa autorización. El mecanismo se parece a entregar un cheque bancario en blanco: no tiene importe ni fecha, pero sí la firma del titular. Quien lo recibe puede completarlo más adelante y retirar el dinero de la cuenta.
A finales de marzo, desconocidos crearon cuatro billeteras con un sistema de transacciones diferidas. Dos de ellas estaban vinculadas a miembros reales del consejo de seguridad de Drift. Los analistas creen que los atacantes obtuvieron firmas auténticas haciéndolas pasar por una operación técnica rutinaria, sin que los firmantes supieran que estaban autorizando una transacción con durable nonce.
El día del ataque, los hackers iniciaron el retiro de fondos del fondo de seguros de Drift bajo la apariencia de una prueba de seguridad habitual. Un minuto después enviaron dos transacciones firmadas de antemano, lo que les permitió aprobar la transferencia fraudulenta con nivel de administrador y luego ejecutarla para sacar el dinero del protocolo.
Lazarus ya había atacado antes a las plataformas Bybit y Ronin, de donde sustrajo 1.500 millones y 625 millones de dólares, respectivamente. El ataque contra Drift ocurrió el 1 de abril. Durante seis horas, los USDC robados fueron movidos a través del protocolo de Circle mediante más de 100 transacciones, según constató el investigador anónimo ZachXBT.