Profundiza en la recuperación del incidente de hacking de 285 millones de dólares de Drift: ¿Cómo debe la gobernanza DeFi despedirse de los "equipos improvisados"?

Nulo

El 1 de abril de 2026, el mayor exchange descentralizado de contratos perpetuos en el ecosistema de Solana, Drift Protocol, sufrió un golpe épico. En apenas unos minutos, hasta 285 millones de dólares en activos criptográficos fueron saqueados, estableciendo el mayor incidente de seguridad en el campo de DeFi en lo que va del año.

Con el análisis de datos en la cadena y la intervención profunda de las instituciones de seguridad, el panorama completo de este ataque APT, aparentemente liderado por un grupo de hackers norcoreanos, comenzó a aclararse. Lo que resulta lamentable es que la destrucción de esta fortaleza DeFi de varios cientos de millones de dólares no fue causada por una vulnerabilidad de día cero (0-day) sofisticada, sino por una operación de ingeniería social que duró meses y que atacó directamente la naturaleza humana.

Esta catástrofe no solo marca el momento más oscuro de Drift, sino que también revela las deficiencias en la gobernanza y gestión de claves en la industria DeFi actual, que parecen operarse con un “equipo improvisado”.

El ataque planificado: ¿Cómo fue que Drift cayó paso a paso?

Al revisar la ruta del ataque del hacker, descubrimos que fue una operación extremadamente meticulosa y paciente, coordinada en múltiples frentes. Los atacantes aprovecharon perfectamente la confianza ciega de la comunidad de entusiastas de Web3 en la máxima de “el código es la ley”, así como la negligencia en la gestión de la “persona”, el eslabón más débil.

Primer paso: la infiltración encubierta con apariencia de “market maker”

Ya seis meses antes del incidente, los atacantes se disfrazaron de una sólida firma de trading cuantitativo. No solo participaron en reuniones en las principales conferencias de criptomonedas con el equipo central de Drift, sino que también depositaron en realidad millones de dólares en fondos en el protocolo. A través de la participación en pruebas de productos y la propuesta de estrategias de alta calidad, los hackers lograron infiltrarse en los grupos de comunicación internos de Drift, ganando una confianza mortal.

Segundo paso: sembrar la bomba con “números aleatorios duraderos”

Tras ganarse la confianza de los contribuyentes clave, los hackers comenzaron a aprovechar el mecanismo de “números aleatorios duraderos (Durable Nonces)” exclusivo de la red Solana. Este mecanismo permite que las transacciones sean firmadas offline con anticipación y luego transmitidas en cualquier momento futuro para su ejecución. Con un discurso astuto y demandas de prueba disfrazadas, inducen a los miembros del comité de seguridad de Drift a firmar “a ciegas” varias transacciones aparentemente normales. Sin embargo, el verdadero contenido de estas transacciones era transferir el control máximo del administrador (Admin) del protocolo.

Tercer paso: la firma múltiple 2/5 mortal y el bloqueo de tiempo cero

El 27 de marzo, Drift realizó una actualización de gobernanza fatal: migró el comité de seguridad a una nueva estructura de firma múltiple 2/5 y eliminó el bloqueo de tiempo (Timelock). Esto significaba que, con solo dos firmas, cualquier instrucción para modificar la lógica subyacente del protocolo se ejecutaría instantáneamente, sin dar tiempo ni siquiera a desconectar la red.

Cuarto paso: la “máquina expendedora” de “falsas monedas” como ilusión

El 1 de abril, los hackers activaron todos los despliegues simultáneamente. Transmitieron las instrucciones de firma múltiple previamente engañosas, tomando el control instantáneo del permiso de administrador del protocolo. Luego, los hackers añadieron un token falso llamado CVT (CarbonVote Token) a la lista blanca y lo llevaron al límite en sus préstamos. Combinando la manipulación de precios mediante oráculos, los hackers usaron una pila de tokens sin valor como garantía para “tomar prestado” de manera legal y legítima 285 millones de dólares en USDC, SOL y ETH del tesoro de Drift.

Firma legal ≠ intención legal: la vulnerabilidad en la seguridad de DeFi

En el incidente de Drift, lo que resulta más frustrante es que, desde la perspectiva de la máquina virtual de blockchain, cada paso de los hackers fue “legal”. No explotaron vulnerabilidades de desbordamiento ni ataques de reentrada; simplemente obtuvieron las llaves de administrador legítimas y entraron en la bóveda con toda la legitimidad.

Esto revela un grave desajuste en la gestión de fondos en los protocolos DeFi actuales: se usan herramientas de nivel minorista, que gestionan unos pocos cientos de dólares, para administrar fondos institucionales de varios millones.

Actualmente, la mayoría de los protocolos DeFi principales todavía dependen en gran medida de firmas múltiples basadas en contratos inteligentes tradicionales (como Safe o mecanismos nativos de multi-firma). Sin embargo, esta arquitectura presenta dos defectos fatales:

Imposibilidad de defenderse contra la ingeniería social: si los hackers logran comprometer a unos pocos individuos clave que poseen las claves privadas, la defensa colapsa.

Falta de verificación de intención: las firmas múltiples solo verifican “quién firmó”, pero no si “lo que firmaron es un contrato de venta”.

De la experimentación técnica a la infraestructura financiera: la evolución inevitable en la seguridad de Web3

El costo de los 285 millones de dólares en Drift ha sido una lección extremadamente costosa: a medida que Web3 se fusiona aceleradamente con las finanzas tradicionales, los protocolos DeFi deben abandonar los modelos de gobernanza basados únicamente en la autogestión de los desarrolladores y en firmas múltiples sencillas, y adoptar estándares de seguridad a nivel institucional.

Actualmente, las principales instituciones y observadores de seguridad en la industria ya coinciden en que la próxima iteración de seguridad en infraestructura DeFi debe incluir las siguientes mejoras clave:

Actualización de la base criptográfica: hacia HSM (Módulo de Seguridad Hardware)

En comparación con las firmas múltiples basadas en software, los HSM almacenan las claves privadas del protocolo en chips certificados, con cifrado de nivel militar, imposibles de exportar. Esta隔离 física y control de seguridad a nivel hardware elimina fundamentalmente los riesgos derivados de ataques de ingeniería social internos o intrusiones en los dispositivos, proporcionando una protección de claves mucho más sólida que las firmas múltiples tradicionales.

Introducción de un motor de políticas “basado en la intención”

La gestión de permisos en DeFi en el futuro no debe limitarse solo a la verificación de firmas. El sistema necesita incorporar una lógica de control de riesgos, por ejemplo: cuando una transacción intenta modificar el límite de préstamo de un token desconocido (como el CVT en el caso de Drift) a un valor infinito, el motor de políticas debe poder detectar automáticamente la intención anómala, activar mecanismos de corte y exigir validaciones más rigurosas (como controles humanos en múltiples niveles, verificación por video o bloqueo de tiempo obligatorio).

Adopción de una custodia regulada e independiente

Con el aumento constante del TVL, los desarrolladores de protocolos deben centrarse en la lógica del código y la innovación comercial, dejando el control y la protección de fondos de miles de millones en manos de instituciones de custodia reguladas y con capacidades de defensa y ataque comprobadas. Como en las finanzas tradicionales, los exchanges no colocan los activos de los usuarios en cajas fuertes personales de los directivos. La incorporación de procesos de control de riesgos institucionales, auditados y robustos, es un paso imprescindible para que DeFi se democratice.

Como defienden instituciones como Cactus Custody, que llevan años en la seguridad de activos digitales: la descentralización en DeFi no debe ser una excusa para evadir el control sistémico.

El incidente de Drift puede marcar un punto de inflexión. Anuncia la quiebra del “gobierno improvisado” y también la llegada de un nuevo paradigma de seguridad centrado en arquitecturas de hardware, verificación de intenciones y custodia profesional. Solo fortaleciendo estas defensas, Web3 podrá realmente soportar un futuro de billones de dólares.