#DriftProtocolHacked

El aviso de activación de Drift Protocol $285M : error humano, no código
El 1 de abril de 2026 se recordará como un día sísmico para Solana y el mundo DeFi. Drift Protocol, un intercambio líder de futuros perpetuos y derivados en Solana, sufrió lo que ahora se llama el segundo exploit más grande de la historia de Solana—$285 millones desaparecieron de las bóvedas de los usuarios en cuestión de horas. Pero aquí está el giro: no se rompió ningún contrato inteligente. No se robaron claves privadas en el sentido convencional. Fue un ataque a la capa humana ejecutado con precisión quirúrgica.
En su punto máximo, Drift Protocol tenía aproximadamente $550 millones en valor total bloqueado en bóvedas compartidas en USDC, JitoSOL, tokens JLP, Bitcoin envuelto y Solana. Para la tarde del 1 de abril, el TVL se había desplomado hasta $24 millones. ¿El método? Ingeniería social de la más alta categoría. Los atacantes aprovecharon el sistema multisig del Security Council de Drift 5 de 9, dedicando semanas a elaborar un plan que no se basaba en vulnerabilidades de código, sino en la confianza.
A partir de aproximadamente el 23 de marzo de 2026, los atacantes crearon cuentas de nonce duraderas vinculadas a las billeteras de los firmantes del multisig. Estas cuentas permitían que las transacciones prefirmadas se ejecutaran en cualquier momento futuro, sin que el equipo lo supiera. Para el 27 de marzo, durante una migración rutinaria de multisig—un evento legítimo de mantenimiento del protocolo—los atacantes integraron su infraestructura bajo la apariencia de operaciones normales. Para el 1 de abril, las transacciones prefirmadas se dispararon automáticamente, otorgando a los atacantes control de administración total en solo cuatro slots de la cadena de bloques de Solana—aproximadamente dos segundos.
Una vez asegurado el control, el ataque se desarrolló en tres fases calculadas: asumir plenas facultades de administrador, introducir un activo falso llamado CarbonVote Token y realizar wash-trades para manipular los oráculos de precios, y eliminar por completo los límites de retiro. Las 20 bóvedas compartidas fueron vaciadas de forma sistemática. El valor del token DRIFT se desplomó más del 40% en horas.
Los fondos se trasladaron fuera de la cadena casi instantáneamente. Aproximadamente $278.5 millones se puenteó a Ethereum mediante el Cross-Chain Transfer Protocol de Circle, evitando USDT para minimizar el riesgo de congelamiento centralizado. Cuatro direcciones de Ethereum ahora contienen los activos robados, con partes rastreadas hasta Tornado Cash y exchanges, añadiendo capas de ofuscación. Los informes de seguridad sugieren posibles vínculos con North Korean state-affiliated links, destacando la dimensión geopolítica ahora entrelazada con el riesgo DeFi.
La respuesta de Drift fue rápida, pero solo pudo limitar daños adicionales: se pausaron los depósitos y retiros, se eliminó el multisig comprometido y se confirmó que los fondos de seguro estaban a salvo. El equipo está coordinándose con las fuerzas del orden y empresas de seguridad para la atribución y la recuperación, prometiendo un postmortem detallado.
¿Cuál es la lección clave? Los sistemas multisig, no importa cuán técnicamente seguros sean, solo son tan fuertes como las personas que los operan. Los nonces duraderos—una función nativa de Solana—introdujeron una vulnerabilidad de prefirmado que el ecosistema en general aún no ha abordado. La ingeniería social de los firmantes ya no es algo hipotético; $285 millones en fondos perdidos lo demuestra a gran escala.
Todo protocolo DeFi que use gobernanza multisig debe auditar con urgencia la exposición a nonces. Cada usuario debe entender que las auditorías de código no pueden sustituir la vigilancia de capa humana. El exploit de Drift Protocol es un momento decisivo—una prueba brutal pero necesaria del diseño de seguridad descentralizado, un recordatorio contundente de que en DeFi la confianza no es solo código.
DeFi no está roto. Pero se está poniendo a prueba con más dureza que nunca. La pérdida de $285 millones es una lección humana escrita en capital y tiempo—una que el ecosistema no puede permitirse ignorar.
DeFi no está roto. Pero se está poniendo a prueba con más dureza que nunca antes.
#DriftProtocolHacked