#DriftProtocolHacked

#DriftProtocolHacked

El $285 Gran Robo Que Tomó 10 Segundos Ejecutarlo y Ocho Días Planearlo

El token DRIFT se cotiza actualmente a $0.0407. Caída del 27.88% en las últimas 24 horas. Caída del 40.35% en la última semana. Caída del 75.57% en los últimos 90 días. SOL está a $81.38, aferrándose a un modesto rebote diario del 2.37% que significa muy poco en el contexto de lo ocurrido el 1 de abril de 2026. Porque ese día, Drift Protocol — uno de los intercambios descentralizados de derivados más prominentes en Solana, una plataforma que procesa miles de millones en volumen de comercio y mantiene cientos de millones en depósitos de usuarios — fue drenado de entre $270 y $285 millones en menos de 10 segundos. No por un ataque de fuerza bruta. No por una vulnerabilidad en el código en el sentido tradicional. Sino por uno de los exploits más metódicamente premeditados en la historia de DeFi: un robo que comenzó ocho días antes de que se robara un solo dólar, explotó una función legítima de Solana de una manera que sus diseñadores nunca anticiparon, y fue ejecutado con precisión militar por lo que la firma de seguridad blockchain Elliptic evaluó como probablemente un actor de amenaza norcoreano. Esta es la historia completa de lo que sucedió, cómo funcionó, qué significa para el DeFi en Solana, y qué debe entender cada participante en protocolos en cadena antes de poner otro dólar en un contrato inteligente que no entienden completamente.

El ataque representa más del 50% del valor total bloqueado de Drift Protocol en el momento de la explotación. Se ubica como la segunda mayor explotación en toda la historia de Solana. Para cuando el equipo de Drift confirmó públicamente la brecha y suspendió depósitos y retiros, los fondos — tokens JLP, USDC, Bitcoin envuelto y SOL nativo — ya habían sido drenados de cinco bóvedas distintas. Los activos robados comenzaron a moverse a través de múltiples billeteras casi de inmediato, con $232 millones en USDC transferidos mediante el protocolo cross-chain de Circle a pesar de los llamados públicos a congelar los fondos. El resto fue canalizado a través de Wormhole y Tornado Cash en una secuencia de lavado de activos que reflejaba el mismo nivel de planificación y coordinación que caracterizó el ataque en sí. Esto no fue alguien tropezando con un error a las 2 a.m. Esto fue una operación con infraestructura, reconocimiento, billeteras de respaldo preparadas y una pipeline de lavado lista para ejecutar en el momento en que las puertas de la bóveda se abrieran.

Para entender cómo funcionó el ataque, necesitas comprender los nonces duraderos — la función específica de Solana que hizo posible toda la explotación. En la mayoría de las cadenas de bloques, una transacción incluye una referencia a un hash de bloque reciente, lo que significa que la transacción expira si no se presenta rápidamente, generalmente en unos minutos. Solana introdujo los nonces duraderos como una función de conveniencia para situaciones donde una transacción necesita ser pre-firmada y retenida para su posterior envío — por ejemplo, cuando una billetera de hardware está desconectada, o cuando los procesos institucionales requieren aprobación humana antes de la ejecución, pero la presentación real ocurre más tarde. Una transacción con nonce duradero no expira. Una vez firmada, permanece válida indefinidamente, esperando ser enviada en cualquier momento futuro. Esta es una función legítima y útil. También, como demostró el exploit de Drift de la manera más costosa posible, una función que cambia fundamentalmente el modelo de seguridad de cualquier sistema de gobernanza multisig que no la tenga en cuenta.

Aquí está exactamente lo que hizo el atacante, reconstruido a partir del análisis forense de CoinDesk y las propias declaraciones de Drift. Aproximadamente 20 días antes del ataque, el atacante acuñó CVT — un token completamente sin valor que crearon ellos mismos, sin valor de mercado, sin utilidad y sin integración en ningún protocolo existente. El token no fue listado en ningún lugar. Existió únicamente como un componente en la infraestructura del ataque. Ocho días antes del hack, el atacante configuró infraestructura de soporte nueva — nuevas billeteras, nuevas pipelines de transacción — y comenzó a preparar un conjunto de transacciones con nonce duradero que, una vez firmadas por las partes correctas, les darían control administrativo sobre el protocolo de Drift. La genialidad del enfoque de nonce duradero es que el atacante solo necesitaba convencer a dos de los cinco miembros del Consejo de Seguridad de Drift para firmar lo que parecía ser transacciones administrativas rutinarias. Los firmantes revisaron lo que creían eran acciones de gobernanza estándar. Firmaron. Sus firmas eran válidas — aprobaciones legítimas y criptográficamente correctas de miembros autorizados del consejo de seguridad. Pero debido a que esas firmas estaban incrustadas en transacciones con nonce duradero, el atacante ahora tenía autorizaciones pre-firmadas que permanecerían válidas para siempre, esperando ser usadas en el momento que él eligiera, en un contexto completamente diferente al en el que se obtuvieron las firmas.

Veinticinco segundos antes de que se drenaran los fondos, el atacante presentó las transacciones con nonce duradero pre-firmadas y obtuvo control administrativo total del protocolo. En ese mismo período de 25 segundos, usó ese acceso de administrador para crear un mercado de colateral falso para CVT — el token sin valor que acuñó 20 días antes — y desactivó el interruptor de circuito de Drift, el mecanismo de seguridad diseñado específicamente para prevenir drenajes rápidos y grandes de activos. Con el interruptor desactivado y un mercado de colateral falso en marcha, el atacante vació sistemáticamente cinco bóvedas distintas en segundos. La fase completa de ejecución, desde la toma de control administrativa hasta el drenaje de las bóvedas, duró aproximadamente 10 segundos. Ocho días de preparación. Diez segundos de ejecución. $285 millones desaparecidos.

La implicación forense que la mayoría de los informes han enterrado pero que merece un lugar destacado es la pregunta de cómo dos miembros del Consejo de Seguridad firmaron transacciones que no entendían. La análisis detallado de CoinDesk lo enmarcó directamente: la pregunta abierta que el próximo informe detallado de Drift tendrá que responder es cómo dos miembros separados del multisig aprobaron transacciones sin reconocer lo que estaban aprobando, y si alguna herramienta o cambio en la interfaz podría haber señalado que las transacciones con nonce duradero requerían una revisión adicional. Esta es la falla de gobernanza en el corazón del exploit. El código funcionó como fue diseñado. La criptografía era válida. El ataque tuvo éxito porque operadores humanos — miembros de un consejo de seguridad confiados con autoridad administrativa sobre cientos de millones en fondos de usuarios — firmaron documentos que luego fueron utilizados en un contexto que nunca pretendieron. Eso es un vector de ingeniería social tanto como técnico, y es mucho más difícil de parchear que una vulnerabilidad en el código porque requiere cambiar el comportamiento humano, mejorar las interfaces de las herramientas y construir procesos institucionales que puedan distinguir entre acciones administrativas rutinarias y transacciones con nonce duradero usadas como armas de autorización de ejecución diferida.

La atribución a Corea del Norte, aunque no confirmada formalmente, añade una capa de gravedad geopolítica que posiciona este ataque dentro de un patrón bien documentado. Elliptic evaluó que el ataque probablemente fue atribuido a hackers patrocinados por el estado norcoreano, en línea con una metodología que SecurityWeek describió como coincidente con la extrema precisión de operaciones conocidas del Lazarus Group: configuración previa de infraestructura, reconocimiento en múltiples etapas, pipelines de lavado preparados y velocidad de ejecución que sugiere automatización pre-cargada en lugar de operación manual. Los hackers norcoreanos fueron evaluados por firmas de seguridad blockchain como responsables de robar al menos $2 mil millones en criptomonedas solo en 2025, con fondos robados que se cree financian el programa nuclear del régimen y evaden sanciones internacionales. Si la atribución a Drift se confirma, la cifra de $285 millones no solo será la mayor hackeo de DeFi en 2026, sino una contribución significativa a una operación de financiamiento a nivel estatal que tiene consecuencias directas para la seguridad internacional. Ese marco — usuarios de crypto DeFi financiando inadvertidamente el desarrollo de programas nucleares — es una realidad incómoda con la que la industria debe comprometerse más seriamente que el discurso típico de "lecciones de seguridad aprendidas" tras un hackeo.

Las consecuencias en el mercado fueron inmediatas y severas. El token DRIFT alcanzó un mínimo histórico en los días posteriores al ataque, según datos de Stocktwits. El rendimiento en 90 días del -75.57% refleja el efecto acumulativo de un token que ya estaba bajo presión por la contracción del mercado en general antes de que el hackeo añadiera un daño reputacional catastrófico. El impacto en el ecosistema de Solana fue real pero contenido — SOL cayó un 40.33% en 90 días, reflejando más la presión del mercado general que un colapso específico de Drift. DeFi Development Corp., una compañía listada en Nasdaq con una estrategia de tesorería en Solana, fue rápida en confirmar públicamente que no tenía exposición alguna al exploit de Drift Protocol, señalando que el riesgo de contagio en DeFi se estaba gestionando activamente a nivel institucional. El hecho de que una compañía cotizada sintiera que era necesario emitir esa aclaración en horas tras el hackeo dice mucho sobre qué tan en serio tomó el ecosistema institucional de Solana los posibles efectos en cadena.

Las implicaciones del modelo de seguridad en DeFi van mucho más allá de Drift. El vector de nonce duradero no es exclusivo de Drift. Cualquier protocolo en Solana que utilice gobernanza multisig sin protecciones explícitas contra la explotación de nonce duradero es potencialmente vulnerable a la misma clase de ataque. Y la lección más amplia — que la seguridad multisig solo es tan fuerte como la comprensión, las herramientas y los procesos de los humanos que la operan — se aplica en todos los ecosistemas blockchain, no solo en Solana. Los sistemas de gobernanza multisig de Ethereum, los conjuntos de validadores de Cosmos, las estructuras del consejo de Polkadot — todos dependen fundamentalmente de operadores humanos que revisan y entienden lo que están firmando. El exploit de Drift demostró que un atacante sofisticado, con suficiente paciencia, puede encontrar la brecha entre lo que una firma autoriza en el momento en que se da y lo que esa misma firma permite cuando se presenta semanas después en un contexto diferente. Cerrar esa brecha requiere no solo soluciones técnicas, sino procesos institucionales que traten cada firma de gobernanza como una autorización de alto riesgo con consecuencias a largo plazo — no una aprobación rutinaria para hacer clic y continuar.

Para quienes tenían fondos en Drift Protocol, la realidad práctica inmediata es severa. El protocolo confirmó el ataque, suspendió operaciones y está trabajando en lo que sería una recuperación, si es que hay alguna. La historia sugiere que los fondos recuperados de exploits en DeFi son raros, parciales y lentos. El uso por parte del atacante de Tornado Cash y puentes cross-chain para lavar los fondos en minutos tras el ataque demuestra una estrategia deliberada para dificultar al máximo el rastreo y la recuperación. El protocolo cross-chain de Circle transfirió $232 millones en USDC a pesar de los llamados a congelar — un recordatorio de que incluso la infraestructura de stablecoins más cumplidora tiene limitaciones cuando los fondos explotados se mueven más rápido que el proceso de congelación pueda responder.

#Gate广场四月发帖挑战 #GateSquare