La "llave del cielo" de DeFi: tras el robo de 285 millones de dólares en Drift, las mayores vulnerabilidades en las finanzas descentralizadas

Drift le da este tajo, justo sobre la herida que una industria entera está menos dispuesta a enfrentar.

Autor: Deep Tide TechFlow

1 de abril, Día de los Inocentes.

El mayor exchange de contratos perpetuos en cadena de Solana, Drift Protocol, está siendo vaciado, y la primera reacción de la comunidad es: “Qué buen chiste de Día de los Inocentes”.

Esto no es un chiste.

Alrededor de la 1:30 p. m., las cuentas de monitoreo on-chain Lookonchain y PeckShield casi al mismo tiempo dispararon una alarma: una billetera desconocida que comienza con “HkGz4K” está extrayendo activos del tesoro de Drift con una velocidad impactante. La primera: 41 millones de tokens JLP, por un valor de 155 millones de dólares. Inmediatamente después: 51,6 millones de USDC, 125.000 WSOL, 164.000 cbBTC… Docenas de activos fluyen como el agua de una bañera donde le han quitado el tapón.

Una hora. Los activos del tesoro bajaron de 309 millones de dólares a 41 millones. Más de la mitad del TVL se evaporó.

El equipo de Drift publicó un tuit en X, con un tono inusualmente urgente: “Drift Protocol está sufriendo un ataque activo. Los depósitos y retiros están suspendidos. Estamos coordinando con varias empresas de seguridad, puentes entre cadenas y exchanges para controlar la situación”.

Luego vino esa frase que inevitablemente quedaría escrita en la historia cripto: “This is not an April Fools joke.”

Una llave, abre todas las puertas

Las cifras del robo de Drift difieren según la fuente. PeckShield estima cerca de 285 millones de dólares; Arkham da más de 250 millones; la evaluación preliminar de CertiK ronda 136 millones. Pero, sin importar cuál sea el número correcto, esto es el mayor incidente de seguridad DeFi hasta 2026.

Más que los números, lo que merece atención es el método del ataque.

El fundador de PeckShield, Jiang Xuxian, se lo dijo a Decrypt de forma muy directa: la llave de administrador detrás de Drift “fue filtrada o comprometida de manera clara”. La imagen del ataque que los investigadores on-chain reconstruyeron muestra que los hackers obtuvieron permisos privilegiados del protocolo Drift y, con ello, controlaron el flujo de fondos del tesoro.

Dicho de otra manera: no hay explotación de vulnerabilidades sofisticadas en contratos inteligentes, no hay ataques con flash loans, no hay manipulación de oráculos. Es el fallo de seguridad más primitivo y antiguo: alguien perdió la clave privada.

Los detalles que inquietan aún más son que el atacante no actuó por impulso. Los datos on-chain muestran que esa billetera obtuvo fondos iniciales mediante Near Intents 8 días antes de que ocurriera el ataque, y luego permaneció en silencio. Una semana antes, incluso recibió una pequeña transferencia de 2.52 dólares desde el tesoro de Drift. Un ensayo, un “toque en la puerta”.

Una semana después, la puerta fue pateada.

La caída del “Robinhood” versión cripto

Para Cindy Leow, cofundadora de Drift, la pesadilla del 1 de abril tiene un trasfondo especialmente cruel.

La historia de esta emprendedora chino-malaya fue, en su momento, una de las mejores narrativas de inspiración de Solana DeFi. En 2016 comenzó con arbitraje de Bitcoin entre China y Corea, hizo fondos propios, contribuyó con proyectos de derivados en Ethereum; en 2021, junto con David Lu, creó Drift, apostando por la ventaja de velocidad de Solana en contratos perpetuos on-chain.

Visto en la línea temporal, Drift casi se llevó cada ola. En 2024 consiguió dos rondas de financiación lideradas por Polychain y Multicoin, por un total de 52,5 millones de dólares. Lanzó un mercado de predicción para competir con Polymarket, subió un apalancamiento de 50x, el TVL superó 550 millones de dólares y el volumen de operaciones acumulado pasó de 50.000 millones. En una entrevista con Fortune, Leow usó un posicionamiento ambicioso: convertirlo en un “Robinhood versión cripto”.

Este símil ahora se lee con amargura. La promesa central de Robinhood es permitir que la gente común acceda a instrumentos financieros de Wall Street. La promesa central de Drift es ofrecer a los usuarios una experiencia de “no custodia” en la cadena: tu dinero no pasa por manos de nadie, solo interactúa con código.

Pero detrás del código hay una llave de administrador. Y la seguridad de esa llave depende, al final, de las personas, no de la criptografía.

Aquí también hay una coincidencia histórica que pica la fibra. En 2022, en la era de Drift v1, ya ocurrió una vez un incidente en el que se vació el tesoro. El equipo, después de aquello, redactó un informe técnico extremadamente detallado e incluso hizo pública una porción de código de prueba de concepto, mostrando cómo el atacante vaciaba todo el tesoro en una sola operación. La pérdida en aquel incidente fue de 14,5 millones de dólares, y el equipo compensó íntegramente a los usuarios con su propio dinero.

Cuatro años después, la misma pesadilla se repitió a una escala 20 veces mayor.

La fe descentralizada, el punto ciego centralizado

Si amplías un poco más la mirada desde Drift, verás que se está formando una regla incómoda.

A principios de 2025, el servicio de gestión de claves AWS de Resolv Labs fue comprometido. El atacante aprobó operaciones masivas de acuñación de stablecoin USR usando claves con privilegios, provocando pérdidas en cadena a través de múltiples plataformas. Ese mismo año, el total de robos cripto alcanzó un máximo histórico de 3.400 millones de dólares. El informe de Chainalysis señaló especialmente un cambio de tendencia: los eventos con mayor poder destructivo ocurren a nivel de infraestructura. Los equipos de desarrolladores comprometidos, una única clave de acuñación almacenada en la nube, procesos de firma pescados mediante ingeniería social: esos son los agujeros negros que realmente devoran fondos.

Ahora suma Drift a la lista.

Si ordenas estos casos y los miras juntos, hay una conclusión casi imposible de evitar: la seguridad de las claves privadas ya ha sustituido a las vulnerabilidades de contratos inteligentes, convirtiéndose en el mayor riesgo sistémico de DeFi.

Hay una brecha de comprensión tan grande que podría tragar decenas de miles de millones.

La historia que los protocolos DeFi cuentan hacia afuera es “descentralización”, “no custodia”, “sin necesidad de confianza”. Tus activos los custodia el código; no hay intermediarios que toquen tu dinero. Los usuarios se tragaron ese relato: depositan fondos en estos protocolos y en su cabeza creen que “están lidiando con matemáticas”.

Pero en realidad, casi cualquier protocolo DeFi en funcionamiento tiene una o varias “llaves del señor”: admin key, permisos de actualización, control del tesoro, interruptores de pausa de emergencia. La existencia de estas llaves a veces es por seguridad (para frenar de forma urgente cuando algo sale mal), y otras por flexibilidad (para actualizar la lógica de los contratos). Pero su esencia es la misma: un punto de confianza centralizado, envuelto en una narrativa descentralizada.

Los usuarios creen que están interactuando con código. En realidad, están confiando en una persona, o en un pequeño grupo, que no se equivoca, que no cae en phishing, que no es coaccionado, que no deja el portátil en un café a altas horas de la noche.

Este no es un problema exclusivo de Drift; es una contradicción estructural de toda la industria DeFi.

¿A dónde fueron los 285 millones de dólares?

Las acciones on-chain del atacante fueron limpias y certeras, con la calma de un jugador profesional.

Después de extraer activos del tesoro de Drift, rápidamente convirtió la mayor parte de los tokens en stablecoins y luego transfirió los fondos a la red de Ethereum usando el puente entre cadenas Wormhole. En Ethereum, compró con una parte de las stablecoins aproximadamente 19.913 ETH (valor de alrededor de 42,6 millones de dólares), y el resto se distribuyó en varias direcciones de billetera.

Hay un detalle absurdo: la billetera del atacante también sostenía una gran cantidad de Fartcoin, equivalente a aproximadamente el 2,5% de la oferta total de ese token. Un hacker que acababa de completar el mayor robo DeFi anual, con un montón de memes con nombres relacionados con hacer caca.

Al momento de escribir este artículo, los depósitos y retiros de Drift siguen suspendidos. El token DRIFT pasó de alrededor de 0,072 dólares antes del ataque a cerca de 0,05 dólares, con una caída de más del 28%. Contando desde su máximo histórico de 2,60 dólares, la caída acumulada supera el 98%. La billetera Phantom ya muestra una advertencia a los usuarios que intentan acceder a Drift.

El equipo de Drift afirma que está coordinando con empresas de seguridad, operadores de puentes entre cadenas y exchanges centralizados para intentar congelar y rastrear los fondos robados. Pero si la historia puede aportar alguna referencia, la probabilidad de recuperar fondos transferidos mediante puentes entre cadenas y distribuidos en múltiples billeteras no es alentadora.

Un problema que la industria debe enfrentar con honestidad

Drift le da este tajo, justo sobre la herida que una industria entera está menos dispuesta a enfrentar.

En un informe de finales de 2025, Chainalysis había sido optimista y dijo que la seguridad DeFi lograba “progresos sustanciales”: aunque el TVL se duplicó hasta 119.000 millones de dólares, las pérdidas por hackeos DeFi en realidad estaban disminuyendo. El caso de Venus Protocol se presentó como ejemplo positivo: el sistema de monitoreo de seguridad detectó anomalías 18 horas antes del ataque; el protocolo pausó operaciones rápidamente; los mecanismos de gobernanza congelaron los fondos del atacante, e incluso el atacante terminó perdiendo dinero.

Drift le dio un golpe a ese “relato de progreso”. Puedes llevar las auditorías de contratos inteligentes al límite y desplegar el monitoreo on-chain más avanzado, pero mientras una llave de administrador caiga en manos de ingeniería social, phishing o sea vulnerada por fuerza bruta, toda esa infraestructura de seguridad será como un castillo construido sobre arena.

La industria DeFi necesita detenerse y responder con honestidad una pregunta: cuando le dices a los usuarios “no custodia”, ¿qué significa realmente?

Si la admin key del protocolo puede transferir en cualquier momento todos los activos del tesoro, ¿en qué se diferencia realmente eso de guardar el dinero en una cuenta bancaria de alguien que no conoces? Al menos el banco tiene seguros, regulación y derecho a reclamación legal.

Quizá la respuesta no sea cancelar esos permisos de administrador; en muchos casos su existencia es necesaria. Pero al menos la industria debería dejar de fingir que no existen. La gobernanza multisig, los time locks, los módulos de seguridad de hardware, el recambio de claves… esas soluciones técnicas existen desde hace años, pero demasiados protocolos aún depositan la seguridad de decenas o cientos de millones de dólares en la vigilancia de uno o dos operadores humanos.

El sueño del “Robinhood versión cripto” es precioso. Pero antes de hacerlo realidad, quizá debería responderse primero una pregunta más básica: ¿quién custodia esa llave?