La "llave del cielo" de DeFi: tras el robo de 285 millones de dólares en Drift, las mayores vulnerabilidades en las finanzas descentralizadas

Autor: Deep Tide TechFlow

1 de abril, Día de los Inocentes.

El mayor exchange de contratos perpetuos en la cadena Solana, Drift Protocol, está siendo desvalijado, y la primera reacción de la comunidad es: “Buen chiste de Día de los Inocentes”.

Esto no es un chiste. Aproximadamente a las 13:30 de la tarde, las cuentas de monitoreo on-chain Lookonchain y PeckShield activaron alarmas casi simultáneamente: una billetera desconocida que empieza con “HkGz4K” está extrayendo activos de manera asombrosamente rápida desde la tesorería de Drift. La primera operación: 41 millones de tokens JLP, valorados en 155 millones de dólares. A continuación: 51,6 millones de USDC, 125.000 WSOL, 164.000 cbBTC… Una docena de activos fluyen como el agua de una bañera a la que le han sacado tapones.

Una hora. Los activos de la tesorería cayeron de 309 millones de dólares a 41 millones. Más de la mitad del TVL se evaporó.

El equipo de Drift publicó un tuit en X, con un tono inusualmente urgente: “Drift Protocol está sufriendo un ataque activo. Los depósitos y retiros se han pausado. Estamos coordinando con varias empresas de seguridad, puentes entre cadenas y exchanges para contener la situación”.

Luego viene esa frase, destinada a quedar escrita en la historia cripto: “This is not an April Fools joke.”

Una llave, abre todas las puertas

El botín digital robado de Drift varía según la fuente. PeckShield estima alrededor de 285 millones de dólares; Arkham da más de 250 millones; la evaluación preliminar de CertiK ronda los 136 millones. Pero cualquiera que sea la cifra, este es el mayor incidente de seguridad DeFi hasta la fecha en 2026.

Más allá de los números, lo que vale la pena mirar es el método del ataque.

El fundador de PeckShield, Jiang Xuxian, se lo dijo a Decrypt sin rodeos: la clave(s) del administrador detrás de Drift “ha(n) sido claramente expuesta(s) o comprometida(s)”. El panorama del ataque reconstruido por investigadores on-chain muestra que el hacker obtuvo permisos de acceso privilegiados al protocolo de Drift y, con ello, controló el flujo de fondos de la tesorería.

Dicho de otra manera: no hay un exploit sofisticado de vulnerabilidad en un contrato inteligente, no hay ataques con flash loans, no hay manipulación de oráculos. Es el fallo de seguridad más primitivo y trillado: alguien perdió la llave privada.

Los detalles que más inquietan son que el atacante no actuó por impulso. Los datos on-chain indican que esta billetera obtuvo fondos iniciales mediante Near Intents ocho días antes de que ocurriera el ataque, y luego permaneció en silencio. Una semana antes del ataque, incluso recibió una pequeña transferencia de valor de 2,52 dólares desde la tesorería de Drift. Un intento, un “toque en la puerta”.

Una semana después, la puerta fue pateada.

La caída de “Robinhood” en versión cripto

Para Cindy Leow, cofundadora de Drift, la pesadilla del 1 de abril tiene un trasfondo especialmente cruel.

La historia de esta emprendedora chino-malasia fue, en su momento, una de las mejores narrativas inspiradoras de Solana DeFi. En 2016 comenzó con arbitraje de Bitcoin entre China y Corea; gestionó un fondo propio; aportó proyectos de derivados en Ethereum; y en 2021, junto con David Lu, creó Drift, apostando por la ventaja de velocidad de Solana para los contratos perpetuos en cadena.

Visto en la línea de tiempo, Drift casi fue un imán que tocó cada bache. En 2024 consiguió dos rondas de financiación, con Polychain y Multicoin como líderes, por un total de 52,5 millones de dólares. Lanzó un mercado de predicciones para retar a Polymarket, desplegó un apalancamiento de 50x, el TVL superó los 550 millones de dólares y el volumen de operaciones acumulado rebasó los 50.000 millones. Leow, en una entrevista con Fortune, usó una descripción ambiciosa: quería hacer “Robinhood en versión cripto”.

Este símil ahora se lee con amargura. La promesa central de Robinhood es que las personas comunes accedan a las herramientas financieras de Wall Street. La promesa central de Drift es que los usuarios reciban una experiencia de trading “sin custodia” en la cadena: tu dinero no pasa por las manos de nadie, solo interactúa con el código.

Pero detrás del código hay una llave del administrador. Y la seguridad de esa llave, al final, depende de las personas, no de la criptografía.

Aquí también hay una coincidencia histórica que punza los nervios. En 2022, en la era de Drift v1, ya se había producido un incidente en el que la tesorería fue vaciada. Después del suceso, el equipo redactó un informe técnico extremadamente detallado y hasta publicó un fragmento de código de prueba de concepto, mostrando cómo el atacante vaciaba toda la tesorería en una sola operación. La pérdida de aquel incidente fue de 14,5 millones de dólares, y el equipo reembolsó al 100% a los usuarios con su propio dinero.

Cuatro años después, la misma pesadilla se repitió con un tamaño 20 veces mayor.

La fe descentralizada y el punto débil centralizado

Si amplías el foco desde Drift, verás que se está formando una regla que incomoda.

A principios de 2025, el servicio de gestión de claves de AWS de Resolv Labs fue comprometido. El atacante aprobó una gran emisión de USR stablecoin con una clave privilegiada, provocando pérdidas en cadena entre plataformas. El mismo año, el total de robos cripto en 2025 alcanzó un nuevo máximo histórico de 3.400 millones de dólares. El informe de Chainalysis señaló especialmente un cambio de tendencia: los eventos más destructivos ocurren a nivel de infraestructura. Los equipos de desarrolladores comprometidos, una única clave de acuñación almacenada en la nube, los flujos de firma suplantados con ingeniería social… esos son los verdaderos agujeros negros que se tragan el dinero.

Ahora súmale Drift.

Si colocas estos casos juntos, hay una conclusión casi inevitable: la seguridad de las llaves privadas ya ha sustituido las vulnerabilidades de contratos inteligentes como el mayor riesgo sistémico de DeFi.

Hay un abismo cognitivo tan grande que puede tragarse decenas de miles de millones.

La historia que los protocolos DeFi cuentan hacia afuera es “descentralización”, “sin custodia”, “sin necesidad de confianza”. Tus activos están bajo custodia del código; no hay intermediarios que puedan tocar tu dinero. Los usuarios se lo creen: depositan su dinero en estos protocolos, pensando “estoy tratando con matemáticas”.

Pero la realidad es que, prácticamente, cada protocolo DeFi en funcionamiento tiene una o varias “llaves de Dios”: admin key, permisos de actualización, control de la tesorería, interruptores de pausa de emergencia. A veces la existencia de estas claves es para seguridad (para frenar de urgencia si algo sale mal), y a veces es para flexibilidad (para actualizar la lógica de los contratos); pero su esencia es la misma: un punto de confianza centralizado, envuelto en una narrativa descentralizada.

Los usuarios creen que interactúan con código. En realidad, están confiando en una persona —o en un pequeño grupo— para que no cometa errores, para que no los pesque con phishing, para que no los coaccione y para que no deje el portátil en un café a altas horas de la noche.

Este no es un problema exclusivo de Drift; es una contradicción estructural de toda la industria DeFi.

¿A dónde fue el dinero?

La acción on-chain del atacante fue limpia y precisa, con la calma de un jugador profesional.

Después de extraer los activos de la tesorería de Drift, convirtió rápidamente la mayor parte de los tokens en stablecoins y luego transfirió los fondos a la red Ethereum mediante el puente entre cadenas Wormhole. En Ethereum, compró con una parte de las stablecoins aproximadamente 19.913 ETH (valorados en unos 42,6 millones de dólares); el resto de los fondos se distribuyó en múltiples direcciones de billetera.

Hay un detalle absurdo: la billetera del atacante también poseía una gran cantidad de Fartcoin, alrededor del 2,5% del suministro total de ese token. Un hacker que acaba de completar el mayor robo de DeFi del año tiene en sus manos un montón de monedas meme con nombres de hacer “pedo”.

Al momento de redactar este texto, los depósitos y retiros de Drift siguen en pausa. El token DRIFT cayó desde alrededor de 0,072 dólares antes del ataque hasta cerca de 0,05 dólares; la caída supera el 28%. Si se calcula desde su máximo histórico de 2,60 dólares, la caída acumulada supera el 98%. La billetera Phantom ya muestra una advertencia a los usuarios que intentan acceder a Drift.

El equipo de Drift afirma que está coordinando con empresas de seguridad, operadores de puentes entre cadenas y exchanges centralizados para intentar congelar y rastrear los fondos robados. Pero si la historia puede ofrecer alguna referencia, la probabilidad de recuperar fondos transferidos mediante un puente entre cadenas y dispersados en múltiples billeteras no es alentadora.

Un problema que la industria debe enfrentar con honestidad

Este tajo de Drift abrió una herida en la industria que casi nadie quiere tocar.

En un informe de fin de 2025, Chainalysis había sido optimista y dijo que la seguridad DeFi había logrado “progreso sustancial”: aunque el TVL se duplicó hasta llegar a 119.000 millones de dólares, las pérdidas por hacks en DeFi en realidad estaban disminuyendo. El caso de Venus Protocol se usó como material positivo: el sistema de monitoreo de seguridad detectó anomalías 18 horas antes de que ocurriera el ataque; el protocolo detuvo rápidamente la operación; y los mecanismos de gobernanza congelaron los fondos del atacante, de modo que el atacante incluso perdió dinero.

Drift le dio un descuento a esa narrativa de “progreso”. Puedes llevar las auditorías de contratos inteligentes al extremo, puedes desplegar el monitoreo on-chain más avanzado, pero mientras una sola admin key sea víctima de ingeniería social, phishing o descifrado forzoso, toda la infraestructura de seguridad queda como fortalezas construidas sobre arena.

La industria DeFi necesita detenerse y responder con honestidad una pregunta: cuando les dices a los usuarios “sin custodia”, ¿qué quieres decir exactamente?

Si la admin key del protocolo puede transferir todos los activos en la tesorería en cualquier momento, ¿en qué se diferencia realmente de guardar dinero en una cuenta bancaria de alguien que no conoces? Al menos el banco tiene seguro, tiene supervisión y tiene recursos legales.

Tal vez la respuesta no sea eliminar esos privilegios de administrador; en muchos casos su existencia es necesaria. Pero al menos la industria debería dejar de fingir que no existen. La gobernanza con multisig, los time locks, los módulos de seguridad de hardware, la rotación de llaves… estas soluciones técnicas existen desde hace años, pero demasiados protocolos aún basan decenas o cientos de millones de dólares de seguridad en la vigilancia de una o dos personas.

El sueño de “Robinhood en versión cripto” es muy bonito. Pero antes de hacerlo realidad, quizá primero deba responderse una pregunta más básica: ¿quién guarda esa llave?