El protocolo Drift fue hackeado y se robaron 285 millones de dólares: ¿Qué salió mal y qué sucederá ahora?

En abril 1, 2026, SolanaEl protocolo Drift, basado en , fue víctima de un ataque que le reportó aproximadamente 285 millones de dólares, convirtiéndose en el mayor hackeo de DeFi del año hasta la fecha. El atacante utilizó una estrategia que duró varias semanas, la cual incluyó un token falso, manipulación de los precios y transacciones pre-firmadas, para tomar el control administrativo del protocolo y, posteriormente, sustraer fondos reales de los usuarios en menos de 12 minutos.

¿Qué sucedió con el Protocolo de Deriva el 1 de abril?

El ataque no surgió de la nada. Según el equipo de Drift Protocol, fue el resultado de días de preparación que solo se hicieron evidentes cuando el daño ya estaba hecho.

El valor total bloqueado (TVL) de Drift cayó de aproximadamente 550 millones de dólares a menos 300 millones de dólares En menos de una hora. El token DRIFT cayó más del 40% durante el incidente. La empresa de seguridad PeckShield confirmado Las pérdidas superaron los 285 millones de dólares, lo que representaba más del 50% del valor total de los dispositivos cubiertos por el protocolo en ese momento.

El momento en que se produjo el incidente causó confusión inmediata. El equipo de Drift publicó en X para aclarar que la situación era real, escribiendo: "Esto no es una broma del Día de los Inocentes. Procedan con precaución hasta nuevo aviso".

El protocolo suspendió todos los depósitos y retiros al iniciarse la investigación.

¿Cómo preparó el atacante la vulnerabilidad con días de antelación?

Según los informes, el atacante dedicó al menos 9 días a preparar las condiciones para el robo antes de llevarlo a cabo.

El token falso y la trampa del oráculo

El atacante creó un token llamado Token CarbonVote (CVT)acuñaron aproximadamente 750 millones de unidades. Introdujeron una liquidez en Raydium con tan solo 500 dólares y utilizaron operaciones ficticias, comprando y vendiendo el token entre sus propias billeteras, para crear un historial de precios falso. cerca $1. Con el tiempo, los oráculos de precios en la cadena de bloques adoptaron este precio artificial y trataron a CVT como un activo legítimo con un valor aproximado de $1 por token.

Un oráculo es un servicio que proporciona datos de precios externos a un contrato inteligente. Cuando se introducen datos manipulados en un oráculo, el contrato inteligente no tiene forma de saber que el precio es falso.

El ataque duradero de Pence

Por otra parte, el atacante utilizó una función de Solana llamada nonces duraderos para firmar previamente las transacciones y retrasar su ejecución. Un nonce duradero reemplaza el mecanismo normal de caducidad de las transacciones, lo que permite que una transacción firmada se conserve y se envíe en cualquier momento en el futuro.

Descubra proyectos prometedores...

Proyectos prometedores...

(Anuncio)

El artículo continúa...

La línea de tiempo:

• Marzo 23: Se crearon cuatro cuentas nonce duraderas. Dos estaban vinculadas a miembros reales del Consejo de Seguridad de Drift con firma múltiple. Las otras dos estaban controladas por el atacante.
• Marzo 27: Drift migró su Consejo de Seguridad debido a un cambio planificado de miembros. El atacante también obtuvo acceso a dos firmantes en la multifirma actualizada.
• Marzo 30: Se creó una nueva cuenta nonce duradera para un miembro de la multifirma actualizada.
• 1 de abril: El atacante ejecutó dos transacciones nonce duraderas pre-firmadas, separadas por cuatro ranuras, completando una transferencia administrativa que le otorgó el control de los permisos a nivel de protocolo.

Con acceso de administrador asegurado, el atacante listó CVT como un mercado válido en Drift, eliminó todos los límites de retiro, depositó cientos de millones de tokens CVT como garantía y luego ejecutó 31 retiros rápidos drenando activos reales, incluyendo USDC, JLP, SOL, envuelto precio mínimo garantizado, Jito (JTO) y Fartcoin (FRT) mememonedaen aproximadamente 12 minutos.

Drift confirmó que el ataque no se debió a un fallo en sus contratos inteligentes ni a ninguna frase semilla comprometida. En cambio, implicó "aprobaciones de transacciones no autorizadas o tergiversadas obtenidas antes de su ejecución".

Las auditorías de seguridad realizadas por Trail of Bits en 2022 y por ClawSecure en febrero de 2026 habían dado el visto bueno a Drift, pero ninguna de las revisiones detectó la introducción de CVT en el mercado ni los cambios en la gobernanza que hicieron posible el ataque.

¿Adónde fueron a parar los fondos robados?

Tras el ataque, el atacante actuó con rapidez para borrar las huellas.

Los activos robados se convirtieron a USDC y SOL, luego se transfirieron de Solana a Ethereum utilizando el Protocolo de Transferencia entre Cadenas (CCTP) de Circle. En Ethereum, el atacante convirtió los fondos a ETH. Según el seguimiento en la cadena, el atacante finalmente acumuló 129,066 ETH, con un valor aproximado de 273 millones de dólares en el momento.

El atacante también depositó SOL en ambos Hiperlíquido y Binance, lo que complica los esfuerzos de rastreo a través de múltiples plataformas y billeteras.

¿Hizo Circle lo suficiente para detener el robo?

Investigador en cadena ZachXBT criticado públicamente Circle, tras el ataque, señaló que grandes cantidades de USDC robados fueron transferidas de Solana a Ethereum durante el horario comercial estadounidense sin ser bloqueadas.

ZachXBT contrastó esta respuesta con la reciente decisión de Circle de congelar 16 monederos digitales corporativos no relacionados entre sí en un caso civil estadounidense confidencial, argumentando que Circle tenía tanto la capacidad como el precedente para intervenir, pero no actuó con la suficiente rapidez para limitar el daño.

¿Qué protocolos se vieron afectados más allá de la deriva?

Las repercusiones se extendieron por todo el ecosistema DeFi de Solana. Varias plataformas conectadas a la liquidez de Drift suspendieron sus operaciones o reportaron pérdidas:

• PiggyBank_fi reportó una exposición de aproximadamente $106,000 a través de estrategias delta-neutrales y cubrió a los usuarios directamente utilizando fondos del equipo.
• Reflect Money suspendió la acuñación y los canjes de USDC+ y USDT+.
• Ranger Finance suspendió los depósitos y retiros de RGUSD, con una exposición estimada superior a los 900,000 dólares.
• Project0 dejó de tomar préstamos utilizando como garantía sus posiciones en Drift como medida de precaución.
• TradeNeutral, GetPyra, xPlace, Uselulo y Elemental DeFi suspendieron funciones clave o informaron de una exposición limitada.
• Jupiter La bolsa confirmó que su fondo JLP sigue estando totalmente respaldado.

¿Qué le depara el futuro a Drift?

Drift está coordinando con varias empresas de seguridad, exchanges, puentes y fuerzas del orden para rastrear y recuperar los activos robados. La multifirma se ha actualizado para eliminar la billetera comprometida. Todas las demás funciones del protocolo permanecen bloqueadas.

Según Immunefi Director ejecutivo Mitchell AmadorEl impacto en el precio del token suele perdurar más allá de la propia vulnerabilidad. Los datos de Immunefi muestran que el 83 % de los tokens nativos de protocolos pirateados nunca recuperan los precios previos al ataque.

Se espera un análisis exhaustivo posterior al lanzamiento de Drift en los próximos días.

Recursos

1. PeckShield en XPublicaciones (1 y 2 de abril)

2. Lookonchain en XPublicaciones (1 y 2 de abril)

3. Protocolo de deriva en XPublicaciones (1 y 2 de abril)

4. Mitchell Amador en X: Publicación del 25 de marzo