El atacante del Protocolo Drift está intensificando la acumulación de ethereum tras llevar a cabo una operación sofisticada que apuntó a los sistemas administrativos del protocolo y drenó $285 millones de sus bóvedas.
Según los datos rastreados por Lookonchain, el actor malicioso ha gastado millones en USDC para adquirir 130.262 ETH, valorados en aproximadamente $265 millones, durante el último día.
El explotador de @DriftProtocol acaba de gastar otros 2.46M $USDC para comprar 1.195 $ETH.
Han comprado un total de 130.262 $ETH ($267M).https://t.co/ZKbh8J7jRRpic.twitter.com/5Z3Jq2X9NM
— Lookonchain (@lookonchain) April 2, 2026
Ethereum se negoció a $2,038 al momento de la publicación, bajando aproximadamente un 4% durante el mismo período, según CoinGecko.
El token nativo de Drift, DRIFT, cayó bruscamente a $0.049, perdiendo más del 30% de su valor desde el ataque.
¿Qué pasó con Drift Protocol?
El ataque fue detectado por primera vez el 1 de abril, cuando el CEO de Helius, Mert Mumtaz, alertó a la comunidad de que Drift Protocol podría estar siendo explotado.
aún no estoy 100% seguro, pero parece que podrían estar explotando el drift
supervisa tus posiciones https://t.co/xaHqJNDHg2
— mert (@mert) April 1, 2026
Poco después, PeckShield identificó salidas inusuales que involucraban más de 15 tokens, confirmando una explotación importante. Las pérdidas iniciales se estimaron en alrededor de $270 millones.
Aproximadamente dos horas después, el equipo de Drift Protocol reconoció públicamente el incidente en X, suspendiendo todos los depósitos y retiros mientras coordinaba con firmas de seguridad, puentes y exchanges para abordar el incidente.
Cómo se llevó a cabo el ataque
Según la última actualización de Drift, el atacante apuntó a la capa humana y procedural del multisig del Consejo de Seguridad, una estructura administrativa 2-de-5 que controla permisos críticos a nivel de protocolo.
Más temprano hoy, un actor malicioso obtuvo acceso no autorizado a Drift Protocol mediante un ataque novedoso que involucraba nonces duraderos, lo que resultó en una toma rápida de los poderes administrativos del Consejo de Seguridad de Drift.
Esta fue una operación altamente sofisticada que parece haber involucrado…
— Drift (@DriftProtocol) April 2, 2026
Preparación
La operación se preparó cuidadosamente durante varias semanas. Como señaló el proyecto, se crearon cuentas de nonce duraderas en Solana desde el 23 de marzo para permitir la ejecución diferida de transacciones previamente firmadas.
Al obtener firmas de aprobación de al menos dos de los cinco miembros del Consejo de Seguridad, probablemente mediante ingeniería social o falseamiento de las transacciones, el atacante acumuló la autorización suficiente para tomar el control administrativo.
Durante este período, se establecieron cuatro cuentas de nonce duraderas el 23 de marzo, dos vinculadas a miembros existentes del Consejo de Seguridad y dos controladas por el atacante.
Cuando Drift llevó a cabo la migración planificada del Consejo de Seguridad el 27 de marzo, el atacante se adaptó creando una cuenta adicional de nonce duradera el 30 de marzo vinculada a un nuevo miembro de multisig designado.
Ejecución
El ataque se llevó a cabo el 1 de abril, poco después de que el equipo de Drift completara un retiro de prueba legítimo de su fondo de seguros.
El atacante envió dos transacciones de nonce duradero previamente firmadas, separadas solo por cuatro ranuras en la red Solana. La primera transacción creó y aprobó una transferencia de administrador maliciosa, y la segunda aprobó y ejecutó dicha transferencia.
Con control total de los permisos a nivel de protocolo, el atacante introdujo un activo malicioso, eliminó todos los límites de retirada preestablecidos y extrajo fondos en aproximadamente 31 transacciones en unos 12 minutos.
Los fondos afectados incluyen depósitos en piscinas de préstamo y préstamo, depósitos en cofres y activos mantenidos para operar.
Drift confirmó que el fondo de seguros y los tokens DSOL no depositados directamente en la plataforma, incluidos los activos apostados al validador de Drift, permanecieron sin afectar.
Consecuencias financieras
Antes del exploit, Drift Protocol tenía un valor total bloqueado (TVL) superior a $550 millones, lo que lo convertía en una de las aplicaciones DeFi más grandes de Solana, according to DeFiLlama.
En su pico, el TVL de Drift Protocol alcanzó $1.3 mil millones. Tras el ataque, el TVL cayó a alrededor de $247 millones.
El token DRIFT, que había operado por encima de $0.07 antes de la brecha, cayó a aproximadamente $0.04, reflejando una disminución del 42% en 24 horas. Su capitalización de mercado se redujo de aproximadamente $41 millones a $25 millones.
La explotación también afectó aproximadamente 11 protocolos secundarios. Por ejemplo, Ranger Finance enfrentó una exposición estimada de $900,000.
¿Qué es Drift Protocol?
Fundada en 2021, Drift se distingue de los exchanges centralizados al operar completamente en la cadena de bloques Solana, asegurando que los fondos de los usuarios permanezcan bajo su propio control.
En septiembre de 2024, la empresa recaudó $25 millones en una ronda Serie B liderada por Multicoin Capital, con participación adicional de Blockchain Capital, Primitive Ventures y Folius Ventures.
La cofundadora Cindy Leow busca convertir a Drift en el “Robinhood de las criptomonedas”, desarrollando un conjunto integrado de servicios financieros que incluye operaciones spot y derivados, así como un mercado de predicciones.