TechFlow: Drift Protocol sufre un ataque de más de 200 millones de dólares por una vulnerabilidad en su multisig

Cos (Yu Sheng), fundador de SlowMist (@evilcos), atribuyó el ataque a Drift Protocol a un cambio realizado una semana antes: la migración a una configuración multisig 2/5 sin timelock (1 firmante antiguo + 4 firmantes nuevos). El atacante aprovechó esa ventana para hacerse con privilegios de administrador en cuestión de horas. A partir de ahí, acuñó tokens CVT falsos, manipuló oráculos, desactivó mecanismos de seguridad y terminó vaciando todos los activos del pool, con pérdidas superiores a 200 millones de dólares. Cos instó a los proyectos DeFi a revisar de forma inmediata y periódica los escenarios de riesgo extremo ante una posible filtración o compromiso de claves privadas de owner/admin, además de reforzar los sistemas de alertas y la capacidad de respuesta. También recomendó a los usuarios entender con claridad su exposición a pérdidas en situaciones extremas (como conductas internas maliciosas) en cualquier protocolo DeFi en el que participen y evitar entrar sin evaluar esos riesgos.