El 1 de abril de 2026, el exchange descentralizado de contratos perpetuos sin custodia del ecosistema Solana, Drift Protocol, fue atacado por un hacker; el total de activos robados asciende a unos 285 millones de dólares. El atacante, al obtener permisos de administrador en la wallet multisig del protocolo, vació en una hora varios activos de múltiples pools, como USDC, SOL, cbBTC, WETH, etc., y los transfirió entre cadenas a la red Ethereum para intercambiarlos por aproximadamente 129,000 ETH (valor de cerca de 278 millones de dólares). Al 2 de abril de 2026, los fondos robados ya se encontraban almacenados de forma dispersa en 4 direcciones de Ethereum; el valor total bloqueado del protocolo (TVL) cayó bruscamente de 550 millones de dólares a aproximadamente 255 millones de dólares. El incidente se convirtió en el evento de seguridad con la mayor pérdida en un solo caso dentro del sector DeFi en 2026.
Cronología del ataque y ruta técnica
El ataque no fue algo repentino, sino que pasó por un periodo de preparación de aproximadamente ocho días. Los datos on-chain muestran que la dirección de la wallet del atacante, HkGz4K…, fue creada el 24 de marzo de 2026. Obtuvo fondos iniciales mediante el sistema de cross-chain NEAR Intents, y envió una transacción de prueba de bajo monto (aprox. 2.52 dólares) al Drift Vault para verificar los permisos de control del contrato. La ventana de ataque se abrió oficialmente el 1 de abril a las 16:00 UTC:
- La primera transacción transfirió desde la bóveda (vault) de Drift aproximadamente 41.7 millones de tokens JLP (valor de aproximadamente 155.6 millones de dólares).
- Posteriormente, alrededor de 11 transacciones coordinadas fueron extrayendo de forma sucesiva dentro de 60 minutos activos como USDC, SOL, cbBTC, wBTC, WETH, etc., acumulando un total de 285 millones de dólares.
En la ruta técnica, el atacante no aprovechó una vulnerabilidad del código de contratos inteligentes, sino que, al obtener permisos de administrador de una wallet multisig, completó secuencialmente las siguientes operaciones: acuñar tokens falsos CVT → manipular el precio de los oráculos → deshabilitar el módulo de seguridad → extraer activos de alto valor.
La vulnerabilidad central: el mecanismo multisig y la ausencia de Timelock
La causa directa de este ataque fue una debilidad de seguridad en la configuración de gestión multisig del protocolo Drift. El informe de revisión de la firma de seguridad SlowMist indica que, aproximadamente una semana antes de que ocurriera el ataque, Drift ajustó el mecanismo multisig a un modo «2/5» (1 firmante antiguo más 4 firmantes nuevos) y no configuró ningún Timelock.
El Timelock es un mecanismo de retraso obligatorio que exige que, tras cambios de configuración con altos permisos, debe transcurrir un periodo de espera de 24–48 horas para que los cambios sean efectivos, proporcionando una ventana de amortiguación para la detección de anomalías por parte de la comunidad y las instituciones de seguridad. La falta de Timelock significa que, una vez que la clave privada de un nuevo firmante fue robada o quedó bajo control malicioso, el atacante puede ejecutar inmediatamente operaciones a nivel de administrador. El atacante utilizó al único firmante original en el multisig anterior junto con otro firmante recién añadido para firmar de manera conjunta, transfiriendo los permisos de administrador a una dirección bajo su propio control y eludiendo todas las protecciones a nivel de los usuarios.
Lógica de lavado mediante transferencia entre cadenas y conversión a ETH
Después de lograr el control, el atacante inició el proceso de disposición de fondos:
- Transferencia entre cadenas: mediante protocolos cross-chain como Wormhole, transfirió los activos multi-activo de la cadena Solana a la red Ethereum.
- Intercambio unificado: en un exchange descentralizado en Ethereum, intercambió todos los activos, como USDC, SOL, wBTC, etc., por ETH.
- Direcciones dispersas: aproximadamente 129,000 ETH (valor de aproximadamente 278 millones de dólares) se almacenaron de forma dispersa en 4 direcciones de Ethereum.
La lógica de elegir ETH como activo final incluye: la red Ethereum tiene la mayor liquidez, lo que facilita una liquidación rápida; unificar los fondos robados de múltiples monedas en un único activo corta la traza de seguimiento on-chain de los fondos originales; y dispersar direcciones reduce el riesgo de que una sola dirección sea congelada por completo. Parte del USDC fue congelada por el emisor en la red Ethereum a través de su mecanismo, pero la proporción dentro del total robado es extremadamente baja.
Impacto en el TVL del protocolo Drift y en el ecosistema Solana
El impacto financiero directo del evento sobre el protocolo Drift se refleja en los datos del TVL. Según estadísticas de DeFiLlama:
Punto en el tiempo (UTC)
TVL (dólares)
1 de abril 00:00
Aproximadamente 550 millones
1 de abril 22:41
Aproximadamente 255 millones
Un recorte del TVL a la mitad implica la reducción del tamaño de los pools de liquidez, lo que provocará un aumento del slippage en las operaciones y una disminución de la eficiencia del capital; en consecuencia, se comprimen el volumen de operaciones del protocolo y los ingresos por comisiones. Desde una perspectiva más macro del ecosistema Solana, este evento es el mayor caso de seguridad DeFi en escala dentro de esa comunidad desde el ataque al puente Wormhole en 2022 (326 millones de dólares). De enero a marzo de 2026, 15 protocolos DeFi perdieron en total aproximadamente 137 millones de dólares; la pérdida del evento único de Drift fue alrededor del doble de esa cifra y, además, superó con creces el récord previo de la mayor pérdida en un solo caso de 27.3 millones de dólares.
Rol de intervención del emisor de stablecoin y zona gris regulatoria
La rapidez de respuesta del emisor de stablecoin Circle generó debate en la industria durante el evento. Tras el ataque, parte del USDC fue congelada en la red Ethereum por Circle, pero una gran cantidad de USDC que se transfirió mediante puentes Wormhole u otros mecanismos cross-chain no fue interceptada de manera oportuna porque no pasó por las direcciones custodiadas directamente por Circle. El detective on-chain ZachXBT criticó esto, argumentando que Circle mostró un retraso en la respuesta en su mecanismo de congelación para USDC entre cadenas.
Esta controversia revela una zona gris regulatoria dentro de los eventos de seguridad en DeFi: la falta de un marco legal claro y un consenso de la industria sobre la obligación de intervención proactiva de los emisores de stablecoins en entornos cross-chain. En la actualidad, emisores como Circle solo pueden congelar USDC en su cadena nativa (Ethereum) controlado por direcciones custodiadas directamente por Circle; para «USDC puenteados» generados mediante puentes cross-chain de terceros como Wormhole, o activos encapsulados después del cross-chain, el emisor no posee permisos directos de congelación. Este caso podría impulsar a los organismos reguladores a plantear requisitos más específicos sobre las obligaciones de respuesta al riesgo de los emisores de stablecoins.
Conclusión
La contradicción estructural central del incidente del ataque a Drift reside en esto: los protocolos DeFi, en el lado del usuario, se promocionan como no custodiados y sin necesidad de confianza; pero a nivel de la gestión, a menudo conservan permisos de administrador altamente centralizados (normalmente llamados «llaves del dios»). Después de que el atacante obtuvo permisos de administrador, pudo completar en una sola transacción tres operaciones de alto riesgo: crear un mercado falso, manipular el precio de los oráculos y desactivar las restricciones de retiro. Esto muestra que el protocolo carece de mecanismos de validación en múltiples capas, umbrales de retraso operativos y condiciones de activación de gestión de riesgos en tiempo real.
Cabe destacar que el protocolo Drift ya había perdido 14.5 millones de dólares en su versión v1 de 2022 por un problema similar de permisos de administración, y el equipo realizó una compensación total después del hecho y publicó una revisión técnica. Cuatro años después, el mismo patrón volvió a aparecer a una escala mayor, lo que indica que incluso tras la revisión y la iteración, el riesgo de centralización de permisos en la arquitectura de seguridad central aún no se ha resuelto de raíz.
FAQ
P: ¿Es posible recuperar los 285 millones de dólares robados a Drift Protocol?
A 2 de abril de 2026, los fondos robados se han transferido entre cadenas a la red Ethereum, se han convertido en ETH y se han almacenado de forma dispersa en 4 direcciones. La tasa general de recuperación de fondos en los eventos de seguridad DeFi de 2026 es inferior al 7% (de 137 millones de dólares, solo se recuperaron 9 millones). Debido a que el atacante utilizó rutas de lavado consolidadas con dispersión de múltiples direcciones y lavado cross-chain, la viabilidad de la recuperación técnica es extremadamente baja.
P: ¿Este ataque afectó la seguridad de otros protocolos DeFi del ecosistema Solana?
Este ataque se origina en vulnerabilidades específicas del propio protocolo Drift en su configuración multisig y el mecanismo de Timelock, y no en una falla sistémica de la cadena base Solana ni en un defecto estándar de contratos inteligentes genéricos. Sin embargo, el evento amplificará significativamente la atención de auditorías y usuarios sobre la configuración de permisos a nivel de gestión de otros protocolos DeFi dentro del ecosistema Solana, lo que podría provocar una reasignación entre protocolos del TVL a corto plazo.
P: ¿Cómo deben los desarrolladores del protocolo prevenir ataques similares de permisos de administración?
Los estándares de seguridad del sector recomiendan incluir tres medidas principales: primero, establecer un Timelock de al menos 24 horas para todos los cambios de configuración con altos permisos y acompañarlo con monitoreo automatizado y alertas; segundo, usar un esquema multisig con al menos un umbral de 4/7 o superior, y almacenar las claves privadas de los firmantes en módulos de seguridad de hardware (HSM) y aislarlas físicamente; tercero, desplegar módulos de gestión de riesgos en tiempo real en la cadena, de modo que cuando una sola transacción implique operaciones de administrador y el monto supere un umbral preestablecido, se active automáticamente la ejecución con retraso y el proceso de verificación por la comunidad.
