Drift “April Fools” supera los 280 millones de dólares robados: ¿ataque de hackers o robo por parte de alguien de dentro?

Shaw, CoinDesk

2 de abril, el protocolo Drift Protocol, una plataforma de trading de derivados, sufrió un incidente de seguridad; los datos on-chain muestran pérdidas superiores a 285 millones de dólares. El equipo del proyecto indicó que ya identificó actividades anómalas y se encuentra investigando, advirtiendo a los usuarios que no depositen fondos en el protocolo por el momento, y subrayando que “esto no es una broma del Día de los Inocentes”.

El ataque involucró múltiples pools de fondos, incluyendo JLP Delta Neutral, SOL Super Staking y BTC Super Staking, entre otros. La transferencia de una sola vez de unos 41,7 millones de tokens JLP equivale a aproximadamente 155 millones de dólares; además, activos como SOL, USDC, cbBTC y wBTC también fueron retirados.

Según las estadísticas, el incidente podría convertirse en uno de los mayores ataques de DeFi en tamaño desde que, en el ecosistema de Solana, ocurriera el exploit del Wormhole bridge.

I. Últimos avances del incidente de ataque a Drift Protocol

A las 4:00 p. m. (hora del Este) del 1 de abril de 2026, el protocolo descentralizado de derivados en el ecosistema de Solana Drift Protocol sufrió un importante ataque de un hacker; los activos robados ascienden a unos 285 millones de dólares. Los activos principales robados fueron: unos 41,7 millones de tokens JLP, con un valor de 155,6 millones de dólares; y varios activos como USDC, SOL, cbBTC y wBTC. Este incidente se convirtió en uno de los ataques más grandes en la historia de Solana y, a la vez, en uno de los de mayor escala en DeFi.

Posteriormente, el oficial de Drift Protocol publicó un mensaje en una red social confirmando: “Drift Protocol está siendo atacado. Las funciones de depósito y retiro están suspendidas. Estamos colaborando con varias entidades de seguridad, puentes entre cadenas y exchanges para controlar plenamente la situación. Esto no es una broma del Día de los Inocentes. Más información se publicará en este mismo momento a través de esta cuenta”.

El ataque comenzó en la madrugada del 2 de abril. La plataforma de monitoreo on-chain PeckShield emitió una alerta: la dirección del fondo principal (main vault) de Drift empezó a realizar transferencias masivas hacia una nueva billetera creada, HkGz4K. Las primeras salidas fueron principalmente los tokens JLP (Jito Liquidity Provider), con un valor de aproximadamente 155 millones de dólares; luego siguieron USDC, SOL, cbBTC, wBTC, WETH y parte de los meme coins. Los datos de PeckShield muestran que, en un corto periodo de tiempo, la salida acumulada de activos alcanzó 285 millones de dólares.

Según el monitoreo de Yu Jin, los activos robados por Drift por 285 millones de dólares ya se han cambiado a 129.000 ETH (278 millones de dólares). En las últimas horas, el hacker, mediante diversos métodos, vendió esos activos y los transfirió entre cadenas hacia la red Ethereum; después, en la red Ethereum, los compró nuevamente en forma de ETH. Ahora, los activos robados por 285 millones de dólares en Solana ya se han comprado en la red Ethereum por 129,066 ETH.

Además, el equipo de seguridad SlowMist publicó en redes sociales que, actualmente, los fondos robados ya se han concentrado casi por completo en las siguientes direcciones de Ethereum: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674, 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7, 0xaa843ed65c1f061f111b5289169731351c5e57c1; en total: 105,969 ETH (aprox. 226 millones de dólares).

Clúster de direcciones del hacker:

II. Interpretación del ataque a Drift Protocol: ¿el proyecto hizo “robo desde adentro”?

Este ataque fue una combinación cuidadosamente planeada de intrusión de permisos + manipulación de precios. El núcleo radica en que el hacker, tras robar los privilegios de administrador, mediante la falsificación de tokens y la manipulación de oráculos, superó instantáneamente los límites de fondos, saqueando la tesorería (vault) del protocolo. El hacker, al obtener la clave privada del administrador, desactivó el control de riesgos central del protocolo (límites de retiro); luego, utilizó colaterales falsos para extraer en lote fondos de la reserva/pool y, mediante transferencias entre cadenas, completó el lavado de dinero.

En respuesta al incidente en el que el ataque a Drift Protocol provocó el robo de activos, el fundador de SlowMist, Yu Xian, publicó un análisis del incidente, señalando que una semana antes del ataque, Drift ajustó la configuración del mecanismo multisig a “2/5” (1 firmante antiguo + 4 firmantes nuevos) y no configuró un time lock (timelock). Posteriormente, el atacante obtuvo privilegios de administrador, falsificó tokens CVT, manipuló el oráculo, desactivó mecanismos de seguridad y transfirió activos de alto valor desde el pool.

Omer Goldberg, cofundador de Chaos Labs, también publicó en redes sociales que, una semana antes, Drift migró a una nueva billetera multisig, la cual fue creada por uno de los firmantes dentro del multisig original. Y ese firmante no se añadió a la nueva lista de firmantes. El atacante, a la vez, presentó una propuesta en el multisig anterior para transferir los privilegios de administrador a esta nueva billetera. El nuevo multisig tiene 5 firmantes en total: solo 1 proviene del equipo original; los otros 4 son direcciones completamente nuevas. Esta billetera está configurada con un umbral multisig de 2/5 y no tiene ningún time lock (retraso de 0 segundos). En la madrugada del 2 de abril, este único firmante original presentó una propuesta mediante el nuevo multisig para cambiar los permisos de administrador de Drift. Un nuevo firmante firmó en el plazo de un segundo, cumpliendo instantáneamente el umbral 2/5. Debido a que no había time lock, la transacción se ejecutó de inmediato.

Además, circula en la comunidad que un miembro clave del equipo de Drift renunció hace un mes; sin embargo, no es un hecho confirmado oficialmente, y carece de evidencia de respaldo. Por el momento, solo se trata de especulaciones/rumores difundidos en la comunidad de X (Twitter), sin nombres concretos y sin confirmación por parte de medios mainstream o de la propia Drift. En las noticias principales y los comunicados oficiales de Drift, no se menciona en absoluto que algún miembro del equipo se hubiera ido hace un mes.

Aun así, la posibilidad de “robo desde adentro” es, de hecho, la línea con mayor conversación en la actualidad y la que concentra más dudas, incluso más lógica que “intrusión de hackers externos”. Antes, el equipo ajustó el mecanismo del multisig, haciendo que la estructura de permisos quedara demasiado “cómoda para un ataque”, lo cual no parece un accidente; la técnica del ataque “parece demasiado conocedora de la lógica interna”, y no se parece en absoluto al estilo de un hacker externo. Además, la respuesta oficial ante el robo de una suma tan enorme de activos fue inusualmente serena; el flujo de fondos después del robo fue muy limpio y claro, se cambió rápidamente a ETH y se realizó la operación entre cadenas, y no hubo entrada a exchanges centralizados que fueran vulnerables a congelamientos. Todo el proceso y lógica operativa de estos eventos han llevado a que la sospecha de la comunidad sobre un “robo desde adentro” por parte de Drift oficial se intensifique.

III. Partes relacionadas y reacciones de la comunidad cripto

Tras el incidente de robo de activos de Drift Protocol, las partes relevantes y la comunidad cripto han reaccionado de formas distintas:

• En el incidente de robo del protocolo DeFi Drift, la pérdida en la posición de JLP asciende a unos 155,6 millones de dólares. Al respecto, Jupiter Official indicó que la plataforma no se vio afectada por este incidente: su producto de préstamos Jupiter Lend no está relacionado con el mercado de Drift, y que los activos de JLP “están completamente respaldados por activos subyacentes”. Jupiter también señaló que este incidente representa “un día difícil” para el ecosistema DeFi de Solana, y expresó su preocupación al equipo de Drift y a los usuarios afectados.

• El protocolo de generación de rendimiento Unitas Protocol publicó un tuit afirmando que no se vio afectado por el incidente de ataque a Drift Protocol. Unitas no tiene ninguna exposición en Drift. Todo el colateral está seguro, y todas las estrategias (incluida la estrategia de JLP delta neutral) funcionan de forma normal. Los fondos de los usuarios están a salvo. El colateral puede verificarse en tiempo real mediante los paneles de prueba de reservas de Accountable y Primus Labs.

• Meteora, el protocolo de liquidez de Solana, publicó que en Meteora todos los fondos están seguros; todas las funciones de la plataforma y la tesorería no interactuaron con el protocolo Drift.

• Anna, fundadora de la infraestructura de stablecoins Perena, publicó en redes: su Perena USD*, USD*-J y USD*-P no se vieron afectados por el incidente de ataque a Drift. Pero la bóveda (vault) de JLP del administrador de Neutral Trade, una plataforma para compartir estrategias de cuantificación en el ecosistema de Solana, se vio afectada porque opera sobre Drift Protocol; el equipo mantiene comunicación con los socios y seguirá actualizando los avances.

• Usuario de la plataforma X @hzkj99: En el ecosistema SOL, el protocolo de activos Drift Protocol fue robado, y la pérdida asciende a cientos de millones; para cualquier cosa que involucre fondos, la seguridad debe ser lo primero en todo momento. Especialmente en un mercado bajista, definitivamente habrá nuevos protocolos que sean robados. Este mundo es un gran montaje improvisado; algunos protocolos incluso pueden ser robados múltiples veces, y Drift no es el último que será víctima.

• Usuario de la plataforma X @lanhubiji: Drift Protocol sufrió una explotación importante de una vulnerabilidad; la pérdida fue de alrededor de 270 millones de dólares, uno de los mayores incidentes de ataque a DeFi en lo que va de 2026. En algunos posts, de manera seria, dicen: “La Fundación Solana está coordinando un rollback con los servidores del sótano de Toly (cofundador)”. Aunque esto es un chiste, decirlo así se pasa un poco.

• Usuario de la plataforma X @EnHeng456: En un mercado bajista, realmente hay que tener cuidado al guardar dinero, con mucho más cuidado que antes. El entorno se vuelve cada vez menos seguro; por todos lados hay noticias de robos. Algunos protocolos antiguos incluso fallan específicamente en mercados bajistas, y te cuesta mucho distinguir si fue un ataque de hackers o un “robo desde adentro”. Yo últimamente soy más conservador: lo dejo todo en USD1 y no me atrevo a guardar por todas partes. Con este tipo de mercado, cuanto más te mueves, más fácil es que pase algo. A veces, no hacer nada es la mejor opción: Drift fue robado con 200 millones de dólares y luego terminó en el bolsillo del general.

IV. Impacto del incidente de robo de Drift Protocol

El incidente de robo de 285 millones de dólares en Drift Protocol es el segundo mayor ataque DeFi de la historia del ecosistema Solana. Su impacto va mucho más allá del propio protocolo: golpea duramente la confianza del ecosistema Solana y acelera cambios en la seguridad de DeFi.

Este ataque expuso fallas fatales en la gestión de permisos con multisig y en la seguridad de los oráculos en proyectos DeFi. Los permisos son la tesorería; si la clave del administrador cae en manos de terceros y no hay mecanismos de frenado de emergencia como time locks, cualquier lógica de código compleja puede dejar de funcionar instantáneamente. Para Drift Protocol, a menos que se recupere el gran dinero o exista un “gran comprador” que se haga cargo, se dirigirá hacia la liquidación, la bancarrota y las demandas. Para Solana y su ecosistema, significa un golpe grave a la reputación: salida de fondos a corto plazo y desaceleración del crecimiento; a largo plazo, obliga a una mejora de seguridad. Y para toda la industria DeFi, puede decirse que es como un punto de quiebre: “la seguridad de permisos es más importante que la seguridad del código” se convierte en una regla de hierro; los costos de confianza aumentan de forma drástica, y DeFi entra en una nueva etapa de mayor cumplimiento, más transparencia y mayor centralización (gobernanza de seguridad).