Autor: Shenchao TechFlow
1 de abril, Día de los Inocentes.
El mayor intercambio de contratos perpetuos en la cadena Solana, Drift Protocol, está siendo saqueado, y la primera reacción de la comunidad fue: "¡Qué buen chiste de abril!"
No es una broma. Alrededor de la 1:30 p.m., las cuentas de monitoreo en cadena Lookonchain y PeckShield activaron alarmas casi simultáneamente: una billetera desconocida que comienza con "HkGz4K" estaba extrayendo activos del tesoro de Drift a una velocidad asombrosa. La primera transacción: 41 millones de tokens JLP, valorados en 155 millones de dólares estadounidenses. Inmediatamente después, 51,6 millones de USDC, 125.000 WSOL, 164.000 cbBTC... docenas de activos fluían como agua de una bañera con el tapón retirado.
Una hora. Los activos de la caja fuerte cayeron de 309 millones de dólares a 41 millones. Más de la mitad del TVL, desapareció.
El equipo de Drift publicó un tweet en X con un tono inusualmente urgente: "Drift Protocol está siendo objeto de un ataque activo. Los depósitos y retiros han sido suspendidos. Estamos coordinando con múltiples empresas de seguridad, puentes cruzados y intercambios para contener la situación."
Luego viene la frase que quedará grabada en la historia de las criptomonedas: "This is not an April Fools joke."
Una llave que abre todas las puertas
Las cifras de la filtración de Drift varían según las fuentes. PeckShield estima alrededor de 285 millones de dólares, Arkham indica más de 250 millones, y la evaluación inicial de CertiK está en torno a 136 millones. Pero independientemente de cuál cifra sea correcta, se trata del incidente de seguridad DeFi más grande de 2026 hasta la fecha.
Lo que merece más atención que los números es el método de ataque.
El fundador de PeckShield, Jiang Xuxian, le dijo claramente a Decrypt que la clave administrativa detrás de Drift "fue claramente comprometida o violada". El cuadro del ataque reconstruido por investigadores en la cadena muestra que los hackers obtuvieron acceso privilegiado al protocolo Drift y, por lo tanto, controlaron el flujo de fondos de la caja fuerte.
En otras palabras, sin explotaciones sofisticadas de contratos inteligentes, sin ataques de préstamos relámpago, sin manipulación de oráculos. Solo el fracaso de seguridad más básico y antiguo: alguien perdió su clave privada.
El detalle aún más inquietante es que el atacante no actuó de forma impulsiva. Los datos en la cadena muestran que esta billetera recibió fondos iniciales a través de Near Intents ocho días antes del ataque, tras lo cual permaneció en silencio. Una semana antes del ataque, incluso recibió una pequeña transferencia de 2.52 dólares desde la caja de Drift. Una prueba, un "llamado a la puerta".
Una semana después, la puerta fue forzada.
La caída de la versión criptográfica de Robinhood
Para Cindy Leow, cofundadora de Drift, el pesadilla del 1 de abril tenía un trasfondo particularmente cruel.
La historia de este empresario malasio de origen chino fue una de las mejores narrativas inspiradoras de Solana DeFi. Comenzó en 2016 con arbitraje de Bitcoin entre China y Corea, gestionó un fondo propietario y contribuyó con proyectos derivativos en Ethereum; en 2021, junto con David Lu, fundó Drift, apostando por la ventaja de velocidad de Solana para crear contratos perpetuos en cadena.
Desde la línea de tiempo, Drift ha aprovechado casi cada ola. En 2024, obtuvo dos rondas de financiación lideradas por Polychain y Multicoin, por un total de 52,5 millones de dólares. Lanzó un mercado predictivo para competir con Polymarket, introdujo apalancamiento de 50x, superó los 550 millones de dólares en TVL y acumuló un volumen de operaciones superior a 50 mil millones. En una entrevista con Fortune, Leow utilizó una posición ambiciosa: convertirse en el "Robinhood de las criptomonedas".
Esta metáfora ahora suena compleja. La promesa central de Robinhood es permitir que las personas comunes accedan a las herramientas financieras de Wall Street. La promesa central de Drift es permitir a los usuarios obtener una experiencia de negociación "no custodiada" en la cadena, donde tu dinero no pasa por las manos de nadie, sino que solo interactúa con el código.
Pero detrás del código hay una clave de administrador, y la seguridad de esta clave depende finalmente de las personas, no de la criptografía.
Aquí hay otro coincidencia histórica que duele. En 2022, durante la era de Drift v1, ya ocurrió un incidente en el que se vació completamente la caja fuerte. El equipo publicó posteriormente un informe técnico extremadamente detallado e incluso compartió un código de prueba de concepto que mostraba cómo el atacante pudo vaciar toda la caja fuerte en una sola transacción. La pérdida en ese incidente fue de 14,5 millones de dólares, y el equipo compensó íntegramente a los usuarios con su propio dinero.
Cuatro años después, el mismo pesadilla se repitió con una escala 20 veces mayor.
Creencia descentralizada, punto ciego centralizado
Aleja un poco la vista de Drift y notarás que se está formando un patrón incómodo.
A principios de 2025, el servicio de gestión de claves AWS de Resolv Labs fue comprometido; los atacantes utilizaron claves con privilegios para autorizar operaciones masivas de acuñación de la stablecoin USR, desencadenando pérdidas en cadena a través de múltiples plataformas. Ese mismo año, el total de robos criptográficos en 2025 alcanzó un récord histórico de 3.400 millones de dólares, y el informe de Chainalysis destacó un cambio de tendencia: los eventos más destructivos ocurrieron en el nivel de infraestructura. Las máquinas de desarrolladores comprometidas, las claves únicas de acuñación almacenadas en la nube y los procesos de firma manipulados mediante ingeniería social son los verdaderos agujeros negros que devoran los fondos.
Ahora añade Drift.
Si se comparan estos casos lado a lado, una conclusión es casi inevitable: la seguridad de las claves privadas ha reemplazado a las vulnerabilidades de los contratos inteligentes como el mayor riesgo sistémico en DeFi.
Existe una brecha de conocimiento lo suficientemente grande como para devorar miles de millones de dólares.
Los protocolos DeFi cuentan una historia de "descentralización", "no custodia" y "confianza cero". Tus activos son guardados por código, y ningún intermediario puede tocar tu dinero. Los usuarios escuchan esta historia, depositan sus fondos en estos protocolos y piensan: "Estoy tratando con matemáticas".
Pero la realidad es que casi cada protocolo DeFi en funcionamiento tiene una o varias "llaves divinas": clave de administrador, permisos de actualización, control de la billetera y interruptor de pausa de emergencia. La existencia de estas llaves, a veces, busca seguridad (para poder frenar de emergencia si ocurre un problema) y, a veces, flexibilidad (para actualizar la lógica del contrato), pero su esencia es la misma: un punto centralizado de confianza envuelto en una narrativa descentralizada.
El usuario cree que está interactuando con código. En realidad, está confiando en una persona, o en un pequeño grupo de personas, para que no cometan errores, no sean objeto de phishing, no sean coercionadas y no dejen su computadora portátil en un café por la noche.
Este no es un problema exclusivo de Drift, es una contradicción estructural de toda la industria DeFi.
¿Dónde están los 285 millones de dólares?
Las acciones en la cadena del atacante fueron limpias y precisas, con la calma de un profesional.
Después de retirar activos de la billetera de Drift, intercambió rápidamente la mayor parte de los tokens por stablecoins y transfirió los fondos a la red Ethereum a través del puente Wormhole. En Ethereum, utilizó parte de las stablecoins para comprar aproximadamente 19,913 ETH (valorados en unos 42,6 millones de dólares) y distribuyó el resto en múltiples direcciones de billetera.
Un detalle absurdo: la billetera del atacante también contiene una gran cantidad de Fartcoin, que representa aproximadamente el 2.5% de la oferta total de este token. Un hacker que acaba de cometer el robo más grande de DeFi del año tiene en su posesión un montón de meme coins llamados "fart".
Al momento de la publicación, los depósitos y retiros de Drift siguen suspendidos, y el token DRIFT ha caído de aproximadamente 0.072 dólares antes del ataque a alrededor de 0.05 dólares, una caída superior al 28%. En relación con su máximo histórico de 2.60 dólares, la caída acumulada supera el 98%. La billetera Phantom ya ha mostrado una advertencia a los usuarios que intentan acceder a Drift.
El equipo de Drift indica que está coordinando con empresas de seguridad, operadores de puentes cruzados y intercambios centralizados para intentar congelar y rastrear los fondos robados. Sin embargo, si la historia sirve como referencia, la probabilidad de recuperar fondos transferidos a través de puentes cruzados y distribuidos en múltiples billeteras no es optimista.
Una pregunta que una industria debe enfrentar con honestidad
Drift cortó en la herida que la industria más evita enfrentar.
Chainalysis había expresado con optimismo en su informe de finales de 2025 que la seguridad de DeFi había logrado "progresos sustanciales", incluso cuando el TVL se duplicó hasta alcanzar los 119.000 millones de dólares, las pérdidas por hackers en DeFi disminuyeron. El caso de Venus Protocol se presentó como un ejemplo positivo: el sistema de monitoreo de seguridad detectó anomalías 18 horas antes del ataque, el protocolo suspendió rápidamente sus operaciones, el mecanismo de gobernanza congeló los fondos del atacante, y el atacante incluso perdió dinero.
Drift pone en entredicho esta "narrativa de progreso". Puedes llevar la auditoría de contratos inteligentes al límite, implementar monitoreo en cadena de última generación, pero tan pronto como una clave de administrador sea comprometida por ingeniería social, phishing o fuerza bruta, toda la infraestructura de seguridad se desmorona como un castillo construido sobre arena.
La industria DeFi necesita detenerse y responder honestamente a una pregunta: cuando le dices a los usuarios "no custodiado", ¿qué significa realmente?
Si la clave de administración del protocolo puede transferir todos los activos del tesoro en cualquier momento, ¿cuál es realmente la diferencia con guardar dinero en una cuenta bancaria de alguien que no conoces? Al menos los bancos tienen seguro, regulación y recursos legales.
Quizás la respuesta no sea eliminar estos permisos de administrador, ya que en muchos casos su existencia es necesaria. Pero al menos, la industria debería dejar de fingir que no existen. Soluciones técnicas como la gobernanza de múltiples firmas, bloqueos temporales, módulos de seguridad de hardware y rotación de claves ya existen desde hace años, pero demasiados protocolos aún dependen de la vigilancia de uno o dos operadores humanos para proteger cientos de millones de dólares.
El sueño de "Robinhood criptográfico" es muy bueno. Pero antes de lograrlo, tal vez debería responder primero una pregunta más básica: ¿quién guarda la llave?