El hackeo de Drift Protocol en 2026: qué ocurrió, quiénes perdieron dinero y qué va a pasar ahora

Se sospecha que el grupo Lazarus de la RPDC está detrás del robo de 286 millones de dólares en Solana del protocolo Drift

Drift Protocol, la mayor bolsa descentralizada de futuros perpetuos de la red Solana, confirmó el ataque tras ver cómo su valor total bloqueado (TVL) se desplomaba de unos 550 millones de dólares a menos de 250 millones en una sola mañana, situándose ahora en 232 millones de dólares. Bitcoin.com News fue el primero en informar sobre el asunto. El token DRIFT cayó entre un 37 % y un 42 % en las horas siguientes, tocando fondo entre 0,04 y 0,05 dólares.

Los informes señalan que el ataque no comenzó con un error de código, sino con una retirada de Tornado Cash. El 11 de marzo, el atacante retiró ETH del protocolo de privacidad basado en Ethereum y utilizó esos fondos para desplegar el token carbonvote, o CVT, el 12 de marzo. Los analistas de blockchain observaron que la marca de tiempo del despliegue correspondía aproximadamente a las 09:00, hora de Pyongyang, un detalle que despertó sospechas de inmediato.

Varios informes detallan que, durante las tres semanas siguientes, el atacante inyectó una liquidez mínima para el CVT en el exchange descentralizado Raydium y utilizó operaciones ficticias (wash trading) para mantener un precio cercano a 1,00 $. Los oráculos de Drift interpretaron ese precio como legítimo. El atacante había creado garantías falsas que parecían reales para todos los sistemas automatizados que las supervisaban.

«Hoy, un actor malintencionado ha obtenido acceso no autorizado al Protocolo Drift mediante un novedoso ataque que implicaba nonces duraderos, lo que ha dado lugar a una rápida toma de control de los poderes administrativos del Consejo de Seguridad de Drift», escribió el equipo de Drift. La cuenta de X del proyecto añadió:

«Se trató de una operación muy sofisticada que parece haber implicado varias semanas de preparación y una ejecución por etapas, incluido el uso de cuentas de nonces duraderos para pre-firmar transacciones que retrasaban la ejecución».

Al parecer, entre el 23 y el 30 de marzo, el atacante de Drift pasó a la capa humana. Utilizando una función legítima de Solana llamada «nonces duraderos», el atacante habría inducido a los miembros de la firma múltiple del Consejo de Seguridad de Drift a pre-firmar transacciones que parecían rutinarias. Esas firmas se convirtieron en claves de acceso preaprobadas, que se mantuvieron en reserva hasta que el atacante estuvo listo.

La brecha se cerró el 27 de marzo, cuando Drift migró su Consejo de Seguridad a un umbral de firma de 2 de 5 y eliminó por completo su bloqueo temporal. Un bloqueo temporal suele imponer un retraso de entre 24 y 72 horas en las acciones administrativas, lo que da tiempo a la comunidad para detectar y revertir cualquier actividad sospechosa. Sin él, el atacante tenía autoridad de ejecución sin demora. Las transacciones prefirmadas se activaron en el momento en que desapareció el bloqueo temporal.

El 1 de abril, el atacante activó esas transacciones, incluyó CVT como garantía válida, aumentó los límites de retirada y depositó cientos de millones en tokens CVT, contra los cuales el motor de riesgo de Drift emitió activos reales. El protocolo entregó millones en tokens JLP, millones en USDC, millones en SOL y cantidades menores de bitcoin y ethereum envueltos. Se liquidaron treinta y una transacciones de retirada en aproximadamente 12 minutos.

El atacante convirtió los tokens robados a USDC utilizando Jupiter, los transfirió a Ethereum y los canjeó por decenas de miles de ETH. Algunos fondos se canalizaron a través de Hyperliquid, y una parte se trasladó directamente a Binance. El 3 de abril, Drift envió un mensaje en cadena desde una dirección de Ethereum a cuatro carteras controladas por el hacker. La publicación cryptonomist.ch informa de que el mensaje decía:

«Estamos listos para hablar».

Las empresas de seguridad Elliptic y TRM Labs han atribuido el ataque a actores maliciosos vinculados a la RPDC, citando el origen de Tornado Cash, la firma de despliegue en la zona horaria de Pyongyang, el enfoque de ingeniería social y la rapidez del blanqueo tras el hackeo. El Grupo Lazarus utilizó la misma paciencia y el mismo enfoque centrado en las personas en el hackeo del puente Ronin de 2022. El Gobierno de EE. UU. ha vinculado estos robos a la financiación del programa de armamento de Corea del Norte, y Elliptic ha rastreado más de 300 millones de dólares robados solo en el primer trimestre de 2026. El contagio se extendió a más de 20 protocolos. Prime Numbers Fi informó de pérdidas millonarias. Carrot Protocol suspendió las funciones de acuñación y canje después de que el 50 % de su TVL se viera afectado. Pyra Protocol desactivó por completo los retiros, dejando inaccesibles todos los fondos de los usuarios. Piggybank perdió 106 000 dólares y reembolsó a los usuarios con fondos de su propia tesorería. DeFi Development Corp., una empresa que cotiza en el Nasdaq con una estrategia de tesorería basada en Solana, confirmó el 1 de abril que no tenía exposición a Drift. Su marco de riesgos excluía por completo el protocolo. Ese hecho atrajo más atención de la que probablemente pretendía la empresa.

El incidente de Drift dejó clara una lección que la mayor parte del sector ya conocía pero no había aplicado plenamente: un bloqueo temporal no es opcional. La eliminación de esa única medida de seguridad el 27 de marzo convirtió un complejo ataque de varias semanas en una retirada de fondos de 12 minutos. La gobernanza de un protocolo sin un mecanismo de retraso es una gobernanza con la puerta abierta.

Las 48 horas siguientes al ataque a DeFi se describieron como críticas para la capacidad de Drift de mantener la confianza de los usuarios y trazar una vía de recuperación. A fecha de 3 de abril, no se había anunciado ningún plan de reembolso exhaustivo.

Preguntas frecuentes 🔎

• ¿Qué le pasó a Drift Protocol? Los atacantes sustrajeron 286 millones de dólares de Drift Protocol el 1 de abril de 2026, utilizando garantías falsas y transacciones administrativas prefirmadas para vaciar las cajas fuertes principales del protocolo en 12 minutos.
• ¿Quién es el responsable del hackeo a Drift Protocol? Empresas de seguridad, entre ellas Elliptic y TRM Labs, han atribuido el ataque a actores maliciosos vinculados a la RPDC, citando patrones de blanqueo y marcas de tiempo en cadena consistentes con las técnicas operativas del Grupo Lazarus.
• ¿Está mi dinero a salvo en Drift Protocol? Drift suspendió todos los depósitos y retiradas tras el ataque; los usuarios de protocolos afectados como Pyra y Carrot siguen sin poder acceder a sus fondos a fecha de 3 de abril de 2026.
• ¿Qué es un ataque de nonce duradero en Solana DeFi? Un ataque de nonce duradero utiliza una característica legítima de Solana para pre-firmar transacciones que parecen rutinarias, manteniéndolas como claves de autorización activas hasta que el atacante decide ejecutarlas.