Alerta de ingeniería social en XRPL: Cómo los hackers de Drift aprovechan vulnerabilidades humanas para sortear las medidas de múltiples firmas

El 1 de abril de 2026, la mayor exchange descentralizada de contratos perpetuos del ecosistema Solana, Drift Protocol, fue atacada y se sustrajeron en solo unos 12 minutos aproximadamente 285 millones de dólares en activos de usuarios, convirtiéndose en el segundo mayor incidente de seguridad de la historia de Solana. Apenas unos días después, el validador de XRP Ledger, Vet, emitió una advertencia en redes sociales: este ataque es una lección importante para los desarrolladores del ecosistema XRP; amenazas similares de ingeniería social pueden llegar a cualquier red cripto.

¿Cómo se desmoronó una “operación de inteligencia” de seis meses y su defensa con llaves múltiples?

El núcleo del ataque de Drift no fue una vulnerabilidad de contratos inteligentes, sino una campaña estructurada de ingeniería social que duró medio año. Según la investigación oficial de Drift, los atacantes comenzaron a desplegarse ya en el otoño de 2025: se hicieron pasar por representantes de empresas de trading cuantitativo y contactaron a los contribuyentes de Drift en múltiples conferencias internacionales de criptomonedas. Durante los seis meses siguientes, establecieron relaciones privadas con el objetivo, participaron en reuniones cara a cara, formaron grupos de Telegram para discutir estrategias de trading e incluso depositaron más de 1 millón de dólares de su propio capital en el fondo de liquidez de la comunidad de Drift para construir credibilidad. Finalmente, los atacantes completaron la infiltración por dos vías: un contribuyente clonó un repositorio de código malicioso que explotaba una vulnerabilidad conocida de VSCode; otro contribuyente descargó una aplicación maliciosa de TestFlight presentada como un “producto de wallet”.

¿Por qué el “abuso de funciones legítimas” dentro de las técnicas se convirtió en el punto decisivo?

Los atacantes no rompieron ninguna clave privada ni ningún fallo de código. El verdadero punto decisivo estuvo en la función de “números aleatorios persistentes” de Solana: esta función permite que las transacciones prefirmadas sigan siendo válidas durante semanas. Tras obtener, mediante ingeniería social, la autorización de los firmantes de llaves múltiples, los atacantes prefirmaron con antelación transacciones maliciosas y las ejecutaron al instante una vez que tuvieron suficientes permisos, dejando a los defensores con casi nada de tiempo de reacción. Vale la pena destacar que en la arquitectura multisig de Drift el timelock está configurado en cero segundos; esto significa que, siempre que dos firmantes aprueben, la transacción puede ejecutarse inmediatamente, ampliando aún más la ventana de ataque. Drift enfatizó después que todos los miembros multisig usan carteras frías, pero aun así no pudo detenerse el ataque, lo que muestra que cuando el bloqueo falla a nivel humano, incluso un control estricto del hardware puede eludirse.

¿Por qué el validador de XRP Ledger emitió una alerta específica sobre amenazas entre ecosistemas?

La advertencia del validador de XRP Ledger, Vet, no fue algo genérico. Señaló que todos los principales proyectos relacionados con XRP manejan permisos de cuentas de operaciones, permisos de fusión de repositorios de código y credenciales de sistemas backend: “solo las personas lo suficientemente cautelosas pueden sobrevivir”. Vet también subrayó especialmente dos factores estructurales que amplifican el riesgo en XRPL: primero, el número de desarrolladores que genera un proyecto escrito mediante “codificación por atmósfera” está aumentando de manera constante, lo que dificulta garantizar la conciencia de seguridad y las normas operativas; segundo, los eventos presenciales de XRP son cada vez más frecuentes, proporcionando un entorno natural de contacto para ataques de ingeniería social. Estas características coinciden estrechamente con el método de los atacantes en el ataque a Drift, que construyeron confianza a través de reuniones presenciales.

¿Por qué se está difuminando el límite entre confianza on-chain y off-chain y convirtiéndose en un punto ciego de defensa para toda la industria?

Vitalik Buterin había señalado que la seguridad criptográfica de la blockchain se limita a la capa de consenso, mientras que actividades off-chain como el suministro de datos por oráculos, las decisiones de gobernanza y el re-staking dependen totalmente de la integridad de los validadores, en lugar de una ejecución forzada por algoritmos. El incidente de Drift es una prueba real de esta afirmación: los atacantes no rompieron la blockchain en sí, sino que rompieron a “las personas”: el criterio y el comportamiento de los firmantes de multisig. En el ecosistema de XRPL, como los validadores son nodos clave del consenso de red, su frontera de seguridad también se extiende a la capa off-chain: la gestión de cuentas de operaciones, la seguridad de las credenciales del sistema backend y los permisos de fusión del repositorio de código; cuando estos eslabones de “confianza off-chain” fallan, la seguridad de los activos on-chain deja de existir.

Cuando hackers a nivel estatal consideran la ingeniería social como un arma habitual, ¿cómo debe actualizarse el sistema de defensa entre ecosistemas?

El incidente de Drift fue atribuido a una organización de hackers a nivel estatal asociada con Corea del Norte, UNC4736, con una clasificación de “alta a media confianza”. Este grupo había planeado en octubre de 2024 un ataque que causó pérdidas de 58 millones de dólares a Radiant Capital. Las pruebas sobre el flujo de fondos y las técnicas operativas de esta acción presentan superposiciones identificables con casos anteriores. Esto significa que lo que enfrentan los protocolos DeFi ya no son individuos aislados de hackers, sino organizaciones profesionales respaldadas por recursos estatales que pueden invertir continuamente durante meses en “inteligencia humana”. La advertencia del validador de XRPL, en esencia, está recordando a toda la industria: las amenazas de seguridad entre ecosistemas ya no son una suposición, sino una realidad que se está expandiendo.

¿La tendencia de seguridad entre cadenas en 2026 está allanando el camino para el próximo gran ataque?

En 2025, más de 2.01 mil millones de dólares en fondos robados se lavaron mediante puentes entre cadenas, representando el 49.75% de la pérdida total anual. En el incidente de Drift, los atacantes movieron la mayor parte de los fondos robados desde Solana a Ethereum mediante el protocolo de transferencias entre cadenas de Circle, y luego los convirtieron adicionalmente en ETH. La complejidad de los mecanismos de verificación de los puentes entre cadenas y las normas de seguridad desiguales dentro de la industria se están convirtiendo en la principal debilidad que amenaza la estabilidad del ecosistema cripto. Para XRPL, a medida que aumenta continuamente la interoperabilidad entre cadenas, canales similares de transferencia de fondos también podrían convertirse en un “autopista” para que los atacantes laven dinero y se den a la fuga.

De la advertencia del validador a la reflexión de la industria: ¿necesita el centro de la defensa pasar de “fortalecimiento técnico” a “seguridad operativa”?

La enseñanza más profunda del incidente de Drift es que el paradigma de defensa tradicional centrado en “auditoría de código + gobernanza multisig” falla de manera estructural al enfrentar la variable de “las personas”. La frase de Vet, el validador de XRPL, “solo las personas lo suficientemente cautelosas pueden sobrevivir”, no fue un alarmismo infundado, sino un recordatorio serio sobre la seguridad operativa. Desde la perspectiva de estrategia defensiva, la industria quizá necesite actualizarse en tres dimensiones: primero, que los validadores y los contribuyentes clave establezcan mecanismos de capacitación especializada para identificar ataques de ingeniería social; segundo, que el diseño de la arquitectura multisig incorpore ventanas de espera obligatorias como “timelock”, para bloquear la ventana de ejecución inmediata de transacciones prefirmadas; tercero, que el intercambio de información entre ecosistemas y la colaboración de inteligencia sobre amenazas se institucionalicen aún más, para que las alertas de un solo ecosistema puedan llegar rápidamente a otras redes.

Resumen

La alerta de amenaza de ingeniería social publicada por el validador de XRP Ledger contra las tácticas del ataque a Drift no es un evento aislado dentro de un ecosistema, sino una prueba de estrés de la seguridad del sistema de defensa de toda la industria cripto. Cuando una organización de hackers a nivel estatal combina la ingeniería social con el abuso de funciones legítimas de protocolos, y cuando la “confianza off-chain” se vuelve un eslabón más débil que las vulnerabilidades de contratos inteligentes, las defensas de seguridad de cualquier ecosistema pueden colapsar por un error de criterio de un contribuyente. La dirección de respuesta de la industria no debería limitarse a parches a nivel técnico, sino que requiere una reconstrucción sistemática en cultura de seguridad operativa, redundancia de mecanismos de gobernanza y alertas coordinadas entre ecosistemas.

Preguntas frecuentes

P: ¿Qué es la función de “números aleatorios persistentes”? ¿Por qué la aprovechan los atacantes?

Los números aleatorios persistentes son una función legítima en el protocolo de Solana que permite que las transacciones utilicen una cuenta de números aleatorios fija en lugar de un hash de bloque que expira, de modo que las transacciones prefirmadas puedan mantenerse válidas durante semanas. Después de que los atacantes obtienen, mediante ingeniería social, la autorización de firmantes multisig, usan esta función para prefirmar transacciones maliciosas con antelación y ejecutarlas al instante una vez que obtienen permisos suficientes, eludiendo la restricción de la ventana de tiempo del mecanismo tradicional multisig.

P: ¿Existe en el ecosistema de XRP Ledger alguna vulnerabilidad estructural similar a la de Drift?

El validador de XRP Ledger, Vet, señala que los principales proyectos del ecosistema XRPL generalmente manejan permisos de cuentas de operaciones y permisos de fusión de repositorios de código, lo cual presenta características de riesgo similares a las “dispositivos del contribuyente” que fueron comprometidos en el ataque a Drift. Además, el aumento de eventos presenciales en XRPL proporciona más escenarios de contacto para la ingeniería social.

P: ¿Cómo previenen los validadores ataques de ingeniería social similares?

Medidas clave incluyen: establecer entornos operativos con autenticación multifactor y aislamiento de hardware; realizar revisiones estrictas de conductas de clonación de repositorios de código; crear un sistema de capacitación para identificar ataques de ingeniería social; introducir timelocks obligatorios en la gobernanza multisig; y rotar y auditar periódicamente los permisos críticos.

P: ¿Qué papel desempeñan los puentes entre cadenas en incidentes de seguridad?

Los puentes entre cadenas son uno de los canales centrales para el lavado de dinero por parte de los hackers. En el incidente de Drift, más de 230 millones de dólares en fondos robados se transfirieron desde Solana a Ethereum mediante protocolos de transferencia entre cadenas. La complejidad de los mecanismos de verificación y la disparidad de estándares de seguridad en los puentes entre cadenas hacen que se conviertan en una herramienta importante para que los atacantes transfieran y oculten fondos.

P: ¿Qué impacto tuvo este incidente en el desempeño del mercado de XRP?

A 7 de abril de 2026, según los datos de cotización de Gate, el precio actual de XRP es 1.312 USD. Este artículo no proporciona predicciones de precio; los usuarios deben evaluar por sí mismos los riesgos relacionados.