Ataque en Drift Protocol por USD 200-285 millones
Hecho urgente, no es una broma del Día de los Inocentes. Drift Protocol, exchange descentralizado de futuros perpetuos relevante en Solana, fue atacado, con consecuencias estimadas que oscilan entre USD 200 millones y USD 285 millones según la fuente —Arkham Intelligence apunta a más de USD 250 millones; PeckShield eleva la cifra hasta USD 285 millones—, superando incluso al drenaje de Cetus del verano pasado.
Cronología de un asalto quirúrgico
La wallet del atacante, identificada como HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES, fue creada ocho días antes del ataque. Recibió un fondeo inicial vía Near Intents y ejecutó swaps menores en OKX y Jupiter, permaneciendo luego inactiva hasta el día del golpe. Según datos de Solscan, incluso realizó una transacción de prueba contra el Drift Vault por apenas USD 2.52, lo que sugiere que el atacante estaba testeando su acceso privilegiado antes de ejecutar el drenaje masivo.
El movimiento principal arrancó alrededor de las 16:00 UTC. La primera transferencia extrajo 41.7 millones de tokens JLP —valorados en aproximadamente USD 155 millones— desde el vault principal del protocolo. En los minutos siguientes, más de 15 tipos de activos fueron vaciados en ráfagas coordinadas: SOL, JitoSOL, USDC, cbBTC, wBTC, WETH, mSOL, dSOL, INF, USDS, USDT, e incluso memecoins como Fartcoin (~USD 4 millones) y Syrup Coin (~USD 3 millones). El vault de Drift cayó de USD 309 millones a apenas USD 41 millones en el lapso de una hora. Lookonchain fue de los primeros en documentar el drenaje en tiempo real.
Los vaults comprometidos incluyen al menos tres productos clave: JLP Delta Neutral, SOL Super Staking y BTC Super Staking, las tres estrategias que concentraban el grueso del valor bloqueado del protocolo.
La hipótesis central: claves administrativas filtradas
La investigación sigue en curso, pero el consenso preliminar entre los analistas de seguridad apunta a un factor humano, no a una vulnerabilidad en el smart contract. Jiang Xuxian, fundador de PeckShield, fue contundente al señalar que las claves administrativas de Drift fueron comprometidas o filtradas, lo que habilitó al atacante a operar con privilegios de administrador sobre los vaults del protocolo.
El investigador de ciberseguridad blockchain Vladimir S profundizó esa línea: según su análisis, el firmante administrativo fue comprometido, o bien quien controlaba esas claves ejecutó las modificaciones de forma intencional. Según reportes de Cryptopolitan, el atacante habría ido un paso más allá: no solo accedió con permisos de administrador, sino que modificó las claves de control del protocolo, bloqueando al propio equipo de Drift e impidiendo cualquier intervención de emergencia mientras los pools eran vaciados.
Este patrón se distingue radicalmente de los exploits típicos basados en vulnerabilidades de código o manipulación de oráculos. Si se confirma, estaríamos ante un caso donde la arquitectura del protocolo era sólida, pero la gestión de acceso privilegiado falló. Un recordatorio brutal de que en DeFi, la seguridad operativa es tan crítica como la seguridad del contrato.
Ruta de escape: bridges, swaps y compra masiva de ETH
El atacante no se quedó quieto tras el drenaje. Inmediatamente comenzó a convertir los activos robados en USDC mediante Jupiter, el agregador DEX de Solana. Luego utilizó el bridge Wormhole para trasladar los fondos a Ethereum. Hasta las 17:49 UTC, ya había adquirido 19,913 ETH (~USD 42.6 millones) en la red Ethereum a través de la dirección 0xFcC47866Bd2BD3066696662dbd1C89c882105643. Otros fondos fueron depositados directamente en Hyperliquid y Binance. Lookonchain estimó que el atacante compró más de USD 82 millones en ETH en total, diversificando la salida para dificultar el rastreo y la eventual congelación.
La velocidad de la dispersión de activos —bridges, swaps, depósitos en CEX y movimientos a wallets intermediarias— indica una planificación meticulosa, coherente con alguien que llevaba días preparando la operación.
Reacción del ecosistema y daño colateral
Mert Mumtaz, CEO de Helius y una de las figuras más influyentes del ecosistema Solana, fue de los primeros en alertar en X, pidiendo a Circle que intervenga de urgencia para congelar los USDC robados. La comunidad inicialmente tomó la noticia como una broma por la fecha, pero Mumtaz insistió repetidamente en la gravedad del asunto.
Drift Protocol emitió dos comunicados en X. El primero pidió a los usuarios no depositar fondos. El segundo confirmó el ataque activo, informó la suspensión de depósitos y retiros, y declaró estar coordinando con firmas de seguridad, bridges y exchanges para contener el incidente. Phantom Wallet bloqueó el acceso al protocolo como medida preventiva.
Empresas vinculadas al ecosistema Solana como Forward Industries y DeFi Development Corp. se apresuraron a aclarar que sus tesorerías no estaban expuestas al protocolo. El token DRIFT, que ya arrastraba una depreciación del 98% desde su máximo histórico, cayó otro 20-28% adicional tras la noticia, tocando un mínimo de USD 0.045 antes de estabilizarse cerca de USD 0.05.
Contexto más amplio: DeFi bajo asedio
El hackeo de Drift no ocurre en el vacío. Se inscribe en una tendencia creciente de ataques sofisticados contra protocolos descentralizados donde el vector ya no es el código sino el control de acceso. En varios incidentes recientes, los atacantes han explotado controles de gobernanza, mecanismos de oráculo o sistemas de parámetros internos, en lugar de vulnerabilidades externas. Si la hipótesis de las claves administrativas se confirma, Drift se suma a una lista que incluye al propio Wormhole (USD 326 millones en 2022) como los exploits más graves del ecosistema Solana.
Según datos de Immunefi, el 83% de los tokens nativos de plataformas hackeadas nunca recuperan sus precios previos al incidente. El daño, como señala el CEO de Immunefi, Mitchell Amador, va más allá de los fondos robados: implica supresión sostenida del precio del token, reducción de la capacidad de tesorería, disrupción en el liderazgo, tiempo de desarrollo perdido y erosión de la confianza de los usuarios.
| Elemento | Detalle |
|---|---|
| Protocolo afectado | Drift Protocol (Solana) |
| TVL previo al exploit | ~USD 550 millones (DeFiLlama) |
| Fondos drenados (estimaciones) | USD 200M–285M según la fuente |
| Vaults comprometidos | JLP Delta Neutral, SOL Super Staking, BTC Super Staking |
| Wallet del atacante (Solana) | HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES |
| ETH adquiridos por el atacante | ~19,913 ETH (~USD 42.6M) + compras adicionales |
| Vector de ataque sospechado | Filtración/compromiso de claves administrativas |
| Caída del token DRIFT | -20% a -28%, mínimo en USD 0.045 |
| Preparación previa del atacante | 8 días (wallet creada, fondeo vía Near Intents, tx de prueba) |
La investigación permanece abierta. Circle podría congelar parte de los USDC que el atacante convirtió en Ethereum, pero la ventana se cierra con cada minuto que pasa. Los emisores de cbBTC también podrían intervenir si logran interceptar los activos antes de que sean swappeados. La comunidad on-chain —Arkham Intelligence, Lookonchain, PeckShield, SolanaFM— sigue monitoreando los movimientos del atacante en tiempo real.
Por Sistemas, el 01/04/2026.
Siguiente