El Mayor Hack DeFi de 2026: 285 Millones de Dólares Drenados en 12 Minutos
El 1 de abril de 2026 —y no, no fue una broma de April Fools— el Drift Protocol, una de las mayores plataformas de trading descentralizado en la red Solana, fue hackeado por 285 millones de dólares. El ataque eliminó más de la mitad del valor total bloqueado (TVL) del protocolo y se convirtió en el mayor exploit DeFi del año.
El análisis de Elliptic, una empresa líder en forense blockchain, identificó “múltiples indicadores” de que el ataque fue llevado a cabo por hackers patrocinados por el gobierno de Corea del Norte, posiblemente el infame Lazarus Group. De confirmarse, este sería el 18º ataque vinculado a Corea del Norte rastreado por Elliptic en 2026, con más de 300 millones de dólares robados solo este año.
Cómo Ocurrió el Ataque: Una Operación Quirúrgica
El hack de Drift no fue un exploit oportunista de un bug en un smart contract. Fue una operación meticulosamente planificada durante una semana, combinando ingeniería social, manipulación de oráculos y ejecución coordinada a alta velocidad.
Fase 1 — Preparación (23 al 30 de marzo)
Entre el 23 y el 30 de marzo, los atacantes configuraron durable nonce accounts en Solana — cuentas especiales que permiten prefirmar transacciones sin ejecutarlas inmediatamente. Al mismo tiempo, obtuvieron 2 de las 5 aprobaciones necesarias del multisig del Security Council de Drift, alcanzando el umbral mínimo para autorizar operaciones administrativas.
¿Cómo consiguieron las claves? A través de ingeniería social contra miembros del Security Council. Los detalles exactos no fueron divulgados, pero el patrón es consistente con ataques de phishing dirigido (spear phishing), una táctica común del Lazarus Group.
Fase 2 — El Token Falso (CarbonVote Token)
Los hackers crearon un token falso llamado CarbonVote Token (CVT), inyectaron 500 dólares en liquidez y realizaron wash trading (transacciones consigo mismos) para engañar a los oráculos de precio de Solana, haciéndolos tratar el CVT como un activo legítimo con volumen real.
Con las claves administrativas comprometidas, listaron el CVT como un nuevo mercado spot en Drift y, crucialmente, aumentaron los límites de retiro a 500 billones en USDC y otros cuatro activos. Este único movimiento anuló todas las protecciones internas del protocolo.
Fase 3 — El Drenaje (1 de abril, 12 minutos)
El 1 de abril, el atacante ejecutó primero una transacción legítima para no levantar sospechas. Inmediatamente después, lanzó las transacciones maliciosas prefirmadas. En 31 transacciones realizadas en solo 12 minutos, drenó:
- 66,4 millones USDC
- 42,7 millones JLP
- 23,3 millones MOODENG
- 5,6 millones USDT
- 5,2 millones USDS
- 2,6 millones JUP
- 583 mil RAY
- 477 mil WETH
El uso de múltiples claves de firma en estas transacciones indica que los hackers tenían acceso a varias claves autorizadas, no solo una. Esto sugiere un compromiso profundo de la infraestructura de gestión de claves del protocolo.
La Conexión Norcoreana
Elliptic señaló que el comportamiento on-chain del ataque —premeditado, cuidadosamente ejecutado y con un flujo de lavado cross-chain estructurado— es consistente con ataques anteriores del Lazarus Group. Charles Guillemet, CTO de Ledger, comparó directamente el hack de Drift con el robo de 1,4 mil millones de dólares de Bybit en 2025, atribuido por el FBI a Corea del Norte.
De confirmarse, este ataque sería otro capítulo en la campaña sistemática de robo de criptomonedas por parte de Corea del Norte para financiar su programa nuclear y de misiles balísticos. Se estima que el país ha robado más de 6.000 millones de dólares en crypto desde 2017.
Impacto en el Mercado
Las repercusiones fueron inmediatas:
- SOL cayó un 9%, alcanzando un mínimo intradía de 78,60 USD
- La capitalización de Solana bajó a 45,5 mil millones de dólares
- El token DRIFT cayó de 0,072 USD a 0,055 USD
- El protocolo suspendió depósitos y retiros inmediatamente
- Wormhole advirtió sobre posibles retrasos en transferencias cross-chain
La Solana Foundation reaccionó rápidamente. Lily Liu y Vibhu Norby confirmaron que el hack “no fue causado por una vulnerabilidad en el programa o smart contract”, sino por un fallo humano en la seguridad operativa.
La Cuestión del USDC: ¿Circle Congelará los Fondos?
Una parte significativa de los fondos robados fue convertida en USDC, lo que plantea la pregunta inevitable: ¿Circle congelará las direcciones?
La empresa ya ha congelado direcciones sancionadas en el pasado, incluyendo después del hack de Ronin Bridge (Axie Infinity) en 2022.
El resto de los fondos fue distribuido en múltiples wallets, con conversión parcial a SOL. El atacante está en una carrera contra el tiempo para lavar los fondos antes de que puedan ser rastreados y potencialmente congelados.
Qué Enseña Esto Sobre la Seguridad en DeFi
El hack de Drift expone una verdad incómoda: la seguridad en DeFi es tan fuerte como su eslabón humano más débil. No importa cuán auditado esté el código si las claves administrativas pueden ser comprometidas mediante ingeniería social.
Puntos clave:
- Un multisig 2/5 es insuficiente para proteger cientos de millones de dólares
- Las durable nonce accounts pueden ser utilizadas como arma
- Los oráculos de precio siguen siendo vulnerables a manipulación
- La ingeniería social es el vector de ataque más efectivo en DeFi
- Timelocks de 24–48 horas habrían permitido detectar y bloquear el ataque
Aviso: Este contenido es informativo y no constituye asesoramiento financiero. Realiza tu propia investigación antes de tomar decisiones financieras.