Drift “April Fools” supera los 280 millones de dólares robados: ¿ataque de hackers o robo por parte de alguien de dentro?

Shaw, Crónica Económica Dorada

El 2 de abril, el protocolo Drift Protocol, una plataforma de trading de derivados, sufrió un incidente de seguridad; los datos on-chain muestran pérdidas de más de 285 millones de dólares. El equipo del proyecto afirma que ya se detectaron actividades anómalas y que se encuentran en investigación. Recomiendan a los usuarios que no depositen fondos en el protocolo por el momento y recalcan que “esto no es una broma de April Fools”.

El ataque involucró múltiples pools de fondos, incluidos JLP Delta Neutral, SOL Super Staking y BTC Super Staking, entre otros. En una sola operación, la transferencia de unos 41,7 millones de tokens JLP tuvo un valor aproximado de 155 millones de dólares; además, activos como SOL, USDC, cbBTC y wBTC también fueron retirados.

Según las estadísticas, este evento podría convertirse en uno de los ataques DeFi de mayor envergadura en la historia de Solana después del exploit del bridge Wormhole en la cadena.

I. Últimos avances del incidente de ataque al Drift Protocol

A las 00:00 del 1 de abril de 2026 (hora del Este de EE. UU.), el protocolo descentralizado de derivados en la red Solana Drift Protocol sufrió un ataque cibernético importante: los activos robados ascienden a aproximadamente 285 millones de dólares. Los activos principales robados son: unos 41,7 millones de tokens JLP, con un valor de 155,6 millones de dólares; y también USDC, SOL, cbBTC, wBTC, entre otros. Este incidente de robo se convirtió en uno de los ataques más grandes en la historia de Solana (el segundo) y también en uno de los de mayor escala en la historia de DeFi.

Posteriormente, el equipo oficial de Drift Protocol publicó un mensaje en una plataforma social para confirmar: “Drift Protocol está siendo atacado. Las funciones de depósitos y retiros se han pausado. Estamos colaborando con múltiples instituciones de seguridad, puentes entre cadenas y exchanges para controlar la situación a toda costa. Esto no es una broma de April Fools. Más información se publicará en este mismo perfil de forma inmediata”.

Este ataque comenzó en la madrugada del 2 de abril. La plataforma de monitoreo on-chain PeckShield emitió una alerta: la dirección del monedero principal (main vault) de Drift empezó a realizar transferencias a gran escala hacia una billetera recién creada, HkGz4K. Los primeros activos transferidos principales fueron los tokens JLP (Jito Liquidity Provider), con un valor aproximado de 155 millones de dólares; luego siguieron USDC, SOL, cbBTC, wBTC, WETH y cierta cantidad de monedas meme. Los datos de PeckShield muestran que, en un periodo corto, el total de activos salidos ascendió a 285 millones de dólares.

Según el monitoreo de Yu Jin, los activos por 285 millones de dólares robados por Drift ya se han cambiado por 129k ETH (278 millones de dólares). En las últimas horas, el hacker vendió estos activos mediante diversas formas y también los envió a la cadena Ethereum a través de puentes entre cadenas; posteriormente, en Ethereum compró esos activos en forma de ETH. Ahora, los activos por 285 millones de dólares robados en Solana ya están convertidos en 129.066 ETH en la cadena Ethereum.

Además, el equipo de seguridad de SlowMist publicó en redes sociales que, hasta el momento, los fondos robados se han concentrado principalmente en las siguientes direcciones de Ethereum: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674, 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7, 0xaa843ed65c1f061f111b5289169731351c5e57c1, en total: 105.969 ETH (aprox. 226 millones de dólares).

Clúster de direcciones del hacker:

II. Interpretación del ataque al Drift Protocol: ¿“robo desde dentro” por parte del equipo?

Este ataque fue una combinación de intrusión de permisos cuidadosamente planeada + manipulación de precios. La clave está en que el hacker, tras robar los permisos de administrador, mediante la falsificación de tokens y la manipulación de oráculos, logró superar instantáneamente los límites de fondos y saqueó el tesoro (vault) del protocolo. El hacker, al obtener la clave privada del administrador, deshabilitó el control de riesgos central del protocolo (límites de retiro). Luego utilizó colateral falso para retirar en lotes desde el pool de fondos y, mediante transferencias entre cadenas, completó el lavado de dinero.

Con respecto al incidente de que se robaron activos tras el ataque al Drift Protocol, el fundador de SlowMist, Yu Xuan, publicó un análisis señalando que, una semana antes del ataque, Drift ajustó el mecanismo multisig a “2/5” (1 firmante antiguo + 4 firmantes nuevos) y no configuró un time lock (timelock). Posteriormente, el atacante obtuvo permisos de administrador, falsificó tokens CVT, manipuló el oráculo, desactivó los mecanismos de seguridad y transfirió activos de alto valor desde el pool de fondos.

El cofundador de Chaos Labs, Omer Goldberg, también publicó en redes sociales que, hace una semana, Drift migró a una nueva billetera multisig, creada por uno de los firmantes del multisig original. Y ese firmante no se agregó a la nueva lista de firmantes del multisig. El atacante, además, presentó una propuesta en el multisig antiguo para transferir los permisos de administrador a esa nueva billetera. El nuevo multisig tiene 5 firmantes en total; solo 1 proviene del equipo original, y los otros 4 son direcciones completamente nuevas. Esta billetera se configuró con un umbral multisig 2/5 y no tiene ningún time lock (0 segundos de retraso). En la madrugada del 2 de abril, el único firmante original inició una propuesta mediante el nuevo multisig para cambiar los permisos de administrador de Drift. Un nuevo firmante firmó conjuntamente en un segundo, cumpliendo al instante el umbral 2/5. Debido a que no había time lock, la transacción se ejecutó inmediatamente.

Además, circula en la comunidad que un miembro clave del equipo de Drift habría renunciado hace un mes, pero esto no es un hecho confirmado oficialmente; carece de evidencia. Por ahora, solo son conjeturas/rumores que circulan en X (Twitter), sin nombres concretos, y no ha sido confirmado por medios principales ni por el equipo oficial de Drift. En las noticias principales y en los comunicados oficiales de Drift, no se menciona en absoluto que algún miembro del equipo se haya ido hace un mes.

Aun así, la posibilidad de “robo desde dentro” realmente es la dirección que más se está debatiendo en el sector en este momento y la que tiene más dudas; incluso tiene más lógica que “una intrusión de hackers externos”. Antes, el equipo oficial ajustó el mecanismo de multisig, haciendo que la estructura de permisos quedara demasiado “cómoda” para un ataque, lo cual no parece algo accidental. La técnica del ataque “entiende demasiado la lógica interna”, y no se parece en absoluto al estilo de un hacker externo; además, la respuesta oficial ante el robo de una cantidad tan enorme fue inusualmente tranquila. Tras el robo, el flujo de fondos fue extremadamente limpio y claro: se convirtió rápidamente en ETH y se realizó la operación entre cadenas, sin entradas a exchanges centralizados susceptibles de congelación. Todo este proceso de eventos y la lógica operativa han disparado en la comunidad las sospechas de que el equipo oficial de Drift hizo un “robo desde dentro”.

III. Partes relacionadas y reacciones de la comunidad cripto

Tras el incidente de robo de los activos de Drift Protocol, las partes relacionadas y la comunidad cripto reaccionaron de manera diferente:

• En el incidente de robo del protocolo DeFi Drift, la pérdida de la posición JLP fue de aproximadamente 155,6 millones de dólares. Al respecto, Jupiter Official señaló que la plataforma no se vio afectada por el incidente: su producto de préstamos Jupiter Lend no involucra el mercado de Drift, y que el activo JLP “está respaldado completamente por activos subyacentes”. Jupiter también indicó que este incidente es “un día difícil” para el ecosistema Solana DeFi y expresó su preocupación por el equipo de Drift y los usuarios afectados.

• El protocolo generador de rendimientos Unitas Protocol publicó en X que no fue afectado por el ataque a Drift Protocol. Unitas no tiene ninguna exposición en Drift. Todos los colaterales están seguros; todas las estrategias (incluida la estrategia JLP Delta neutral) funcionan de forma normal. Los fondos de los usuarios están seguros. Los colaterales se pueden verificar en tiempo real a través de los paneles de prueba de reservas de Accountable y Primus Labs.

• El protocolo de liquidez de Solana Meteora publicó en X que todos los fondos en Meteora están seguros; todas las funciones de la plataforma y el tesoro (vault) no han interactuado con el protocolo Drift.

• Anna, fundadora de la infraestructura de stablecoins Perena, publicó en X que su Perena USD*, USD*-J y USD*-P no se vieron afectados por el incidente de ataque de Drift. Sin embargo, el JLP vault del equipo gestionado por Neutral Trade, una plataforma de compartición de estrategias cuantitativas del ecosistema Solana, sí se vio afectado porque opera en Drift Protocol; el equipo está en comunicación con socios y seguirá actualizando el progreso.

• Usuario de X @hzkj99: Se robaron los activos del protocolo Drift Protocol del ecosistema SOL, con pérdidas de cientos de millones; siempre que haya fondos involucrados, la seguridad debe ser lo primero en todo momento. Especialmente en el mercado bajista, también habrá absolutamente nuevos protocolos que se roben. Este mundo es un enorme montaje improvisado; algunos protocolos incluso pueden ser robados más de una vez, y Drift tampoco es el último que será robado.

• Usuario de X @lanhubiji: Drift Protocol sufrió una explotación de una vulnerabilidad importante, con pérdidas de alrededor de 270 millones de dólares, una de las mayores incidencias de ataque DeFi en lo que va de 2026. En algunos posts, de manera muy seria dicen: “La Fundación Solana está coordinando un rollback con el servidor del sótano de Toly (cofundador)”. Aunque sea un chiste, decirlo así se pasa un poco.

• Usuario de X @EnHeng456: En un mercado bajista, de verdad hay que tener cuidado al guardar dinero, cada vez es menos seguro el entorno; por todas partes hay noticias de robos. Incluso algunos protocolos antiguos se rompen en el mercado bajista; te cuesta distinguir si fue un ataque de hackers o un robo desde dentro. Yo recientemente he sido muy conservador: solo lo mantengo en USD1 y no me atrevo a ponerlo en cualquier parte. En esta coyuntura, cuanto más te mueves, más fácil es que algo salga mal; a Drift le robaron 129k de dólares y se lo acabaron metiendo en el bolsillo a “el general”.

IV. Impacto del incidente de robo de Drift Protocol

El incidente de robo de 285 millones de dólares de Drift Protocol es el segundo ataque DeFi más grande en la historia del ecosistema Solana; su impacto va mucho más allá del protocolo en sí, golpeando duramente la confianza del ecosistema Solana y acelerando los cambios de seguridad en DeFi.

Este ataque expuso defectos fatales de DeFi en la gestión de permisos multisig y la seguridad de los oráculos. Los permisos son como la caja fuerte. Si las claves del administrador caen en manos de terceros y además faltan mecanismos de frenado de emergencia como time locks, cualquier lógica de código compleja puede dejar de funcionar instantáneamente. Para Drift Protocol, a menos que se recuperen los fondos o haya un “gran jugador” que asuma la compra, el camino será la liquidación, la quiebra y las demandas. Para Solana y su ecosistema, se ha causado un duro golpe a la reputación; en el corto plazo habrá salidas de capital y un enfriamiento del crecimiento; a largo plazo se fuerza la actualización de la seguridad. Y para toda la industria DeFi, puede decirse que es un punto de inflexión: la “seguridad de permisos es más importante que la seguridad del código” se convierte en una regla de oro; los costos de confianza aumentan de forma abrupta, y DeFi entrará en una nueva etapa de mayor cumplimiento, más transparencia y mayor centralización (gobernanza de seguridad).