#DriftProtocolHacked

Drift Protocol, uno de los intercambios descentralizados de derivados perpetuos y spot más grandes construidos sobre la blockchain de Solana, fue víctima de uno de los exploits más devastadores en la historia de DeFi el 1 de abril de 2026. El equipo confirmó que el incidente fue, en sus propias palabras, "no es una broma de April Fools". Para cuando el polvo comenzó a asentarse, las estimaciones situaron las pérdidas totales entre $200 millones y $285 millones, convirtiéndolo en el mayor hackeo de criptomonedas de 2026 hasta ahora, y en el ataque más dañino en DeFi basado en Solana desde el exploit del puente Wormhole en 2022.

La primera señal de problemas surgió alrededor de las 18:10 GMT cuando el equipo de Drift alertó sobre una actividad inusual en la cadena y advirtió a los usuarios que no depositaran fondos. Menos de una hora después, aproximadamente a las 18:58 GMT, el equipo confirmó que un ataque activo estaba en marcha, suspendió inmediatamente tanto depósitos como retiros en toda la plataforma y comenzó a coordinar una respuesta de emergencia con firmas de seguridad en blockchain, puentes y exchanges centralizados en un intento de congelar o rastrear los activos robados.

La mecánica del ataque fue sofisticada, de múltiples pasos y cuidadosamente premeditada. Investigadores en la cadena revelaron que el atacante había estado probando la explotación al menos ocho días antes del golpe real, lo que sugiere una ventana larga de preparación y reconocimiento. El núcleo del ataque giraba en torno a un conjunto comprometido de claves administrativas de Drift. Si estas eran claves privadas filtradas o el resultado de una compromisión multisig que involucraba a múltiples firmantes, aún está en investigación, pero el resultado fue el mismo: el atacante obtuvo control administrativo sobre parámetros críticos del protocolo.

Con acceso administrativo en mano, el atacante ejecutó la siguiente secuencia. Primero, creó un token fraudulento llamado CarbonVote Token, abreviado CVT, y estableció un pool de liquidez falso para él en Raydium. A través de wash trading, infló artificialmente el precio aparente de CVT para que el oráculo del protocolo lo registrara como un activo legítimo de alto valor. Segundo, usando los privilegios administrativos comprometidos, listó CVT como una forma aceptada de colateral en el mercado spot de Drift. También usó esos derechos administrativos para desactivar las protecciones de retiro del protocolo y aumentar el límite de préstamo en USDC desde su tope estándar de $25 millones hasta $500 millones. Tercero, armado con grandes cantidades de colateral falso de CVT que el protocolo ahora reconocía como genuino, depositó y procedió a tomar prestado y drenar activos reales del pool principal de préstamos y bóvedas de Drift. Esto se realizó mediante aproximadamente 31 transacciones en la cadena usando funciones del protocolo como initializeSpotMarket y updateSpotMarketStatus. La operación completa de drenaje se reporta que tomó alrededor de 12 minutos desde el inicio hasta la finalización.

Las bóvedas afectadas incluyeron la bóveda JLP Delta Neutral, la bóveda SOL Super Staking y la bóveda BTC Super Staking, entre otras. La distribución de los activos robados incluyó aproximadamente $155.6 millones en tokens JLP, $60.4 millones en USDC y cantidades adicionales en SOL, JitoSOL, cbBTC y WETH. Las pérdidas totales representaron aproximadamente el 50 por ciento del valor total bloqueado de Drift, que antes del ataque era de aproximadamente $540 millones.

El atacante no se quedó quieto después de drenar las bóvedas. Los fondos fueron intercambiados rápidamente a través de Jupiter, el agregador de liquidez líder en Solana. Una parte fue redirigida a través de una billetera Backpack que podría tener registros KYC, lo cual los investigadores han señalado como una posible pista. Los activos luego fueron puenteados desde Solana a Ethereum, convertidos en ETH y lavados a través de plataformas como Hyperliquid y Monero. Hasta la última información en la cadena, el atacante poseía aproximadamente 19,913 ETH valorados en aproximadamente $42 millones, con más de $82 millones ya considerados lavados en el momento de redactar.

La reacción del mercado fue inmediata y severa. El token DRIFT cayó entre un 25 y un 50 por ciento en horas tras la difusión de la noticia. El TVL de Drift, que había sido de aproximadamente $311.93 millones en DeFiLlama en el momento del incidente, colapsó. Varios otros protocolos con exposición a Drift, incluyendo Ranger Finance, Reflect Money, Elemental DeFi y Project0, pausaron sus operaciones como medida de precaución debido al riesgo interconectado. El incidente hizo que Drift Protocol se convirtiera en el token número uno en tendencia en CoinGecko, mientras traders e investigadores se apresuraban a evaluar su exposición.

Al 2 de abril de 2026, el equipo de Drift no había publicado un informe oficial ni confirmado una cifra exacta de pérdidas. Las firmas de seguridad dieron estimaciones variadas: CertiK situó la cifra en torno a $136 millones, mientras que Arkham Intelligence rastreó cerca de $285 millones en activos robados. La discrepancia probablemente refleja diferentes metodologías para contar los activos en el momento del robo versus los valores tras la liquidación.

Para quienes tuvieron alguna interacción con Drift Protocol, la prioridad inmediata es revocar todas las aprobaciones y permisos de tokens asociados con el protocolo. Se recomienda a los usuarios revisar las aprobaciones en sus billeteras usando Jup Portfolio scanner u otras herramientas equivalentes. Quienes hayan tenido activos en las bóvedas afectadas deben documentar sus posiciones y monitorear las comunicaciones oficiales de Drift para cualquier plan de recuperación o compensación.

Este evento es un recordatorio contundente del riesgo sistémico que la exposición de claves administrativas introduce en los protocolos DeFi. Incluso las plataformas más auditadas y probadas en batalla llevan un vector de centralización cuando los privilegios administrativos existen sin controles de bloqueo de tiempo adecuados con múltiples partes. El exploit de Drift no fue un error en un contrato inteligente en el sentido tradicional. Fue una falla en el control de acceso que permitió a un atacante reescribir unilateralmente las reglas del protocolo en medio de una sesión. Hasta que se publique el informe completo y se establezca la cadena de custodia de las claves comprometidas, la imagen completa sigue siendo incompleta.

La situación aún está en desarrollo. La recuperación es incierta.