✨︎ Resumen (TL;DR):
- Atacantes robaron cerca de 280 millones de dólares de Drift Protocol en Solana mediante ingeniería social.
- La infiltración duró seis meses y el botín final se convirtió en aproximadamente 129,000 ETH.
- El token DRIFT cayó más de 37% y expuso vulnerabilidades en carteras multifirma sin bloqueos de tiempo.
El exchange descentralizado Drift Protocol perdió 280 millones de dólares el 1 de abril en un ataque meticulosamente orquestado. Firmas de seguridad como TRM Labs y Elliptic atribuyen el robo al grupo norcoreano Lazarus Group, que logró infiltrarse en el sistema tras una campaña de ingeniería social de seis meses. Los atacantes se hicieron pasar por una firma de trading cuantitativo en conferencias de la industria para ganar la confianza de los desarrolladores, vulnerar los dispositivos de los colaboradores clave y tomar el control administrativo del código.
Drift Protocol es un exchange descentralizado que facilita el trading de futuros perpetuos en la red Solana.
El informe preliminar del protocolo detalló que la campaña requirió “respaldo organizativo, recursos y meses de preparación deliberada”. La operación inició en octubre de 2025. Los atacantes asistieron a múltiples eventos del sector y depositaron más de un millón de dólares para aparentar legitimidad financiera.
Posteriormente, compartieron herramientas de desarrollo infectadas con software malicioso. Estos paquetes incluían un repositorio de código comprometido y una aplicación falsa para billeteras en formato TestFlight, diseñadas para vulnerar el hardware de los programadores.
Entre el 23 y el 30 de marzo, los cibercriminales aprovecharon una función nativa de Solana. Lograron engañar a dos de los cinco miembros del Consejo de Seguridad para que aprobaran transacciones que parecían de rutina pero ocultaban accesos administrativos totales.
El colapso del valor y el puente hacia Ethereum
El 1 de abril, los atacantes activaron los permisos ocultos y ejecutaron las siguientes acciones en menos de 12 minutos:
- Listaron un token falso llamado CarbonVote Token (CVT) como garantía válida en el sistema.
- Eliminaron todos los límites de retiro de fondos.
- Extrajeron aproximadamente 285 millones de dólares en activos como USDC, JLP y SOL mediante 31 transacciones.
- Enviaron los fondos robados a Ethereum usando el Cross-Chain Transfer Protocol de Circle para convertirlos en 129,000 ETH.
El impacto financiero fue severo. El valor total bloqueado en Drift se desplomó de 550 millones de dólares a menos de 250 millones, y el token DRIFT perdió más del 37% de su valor en las horas siguientes al ataque. Más de 10 protocolos adicionales en el ecosistema de Solana resultaron afectados indirectamente.
Este evento marca el hackeo DeFi más grande de 2026 y el segundo más importante en la historia de Solana, solo detrás del robo a Wormhole por 326 millones de dólares en 2022. La firma CertiK registró 46 incidentes de seguridad y pérdidas por 39.8 millones de dólares en marzo de 2026, lo que apunta a un aumento generalizado de vulnerabilidades de código.
El incidente de Drift expone deficiencias críticas en la arquitectura DeFi y el peligro de los umbrales de seguridad bajos. TRM Labs resumió el suceso de manera directa: “La vulnerabilidad crítica no fue un bug en el contrato inteligente, sino una combinación de ingeniería social a los firmantes del multisig para pre-firmar autorizaciones ocultas y una migración del Consejo de Seguridad sin bloqueo de tiempo que eliminó la última línea de defensa del protocolo”.
