Grupo Lazarus de RPDC sospechoso del robo de $286 millones de Solana en Drift Protocol
Drift Protocol, el mayor exchange de futuros perpetuos descentralizado en la red Solana, confirmó el exploit después de ver colapsar su valor total bloqueado (TVL) de aproximadamente $550 millones a menos de $250 millones en una sola mañana, situándose ahora en $232 millones. Bitcoin.com News fue el primero en informar sobre el problema. El token DRIFT cayó hasta un 37%-42% en las horas siguientes, tocando fondo cerca de $0.04 a $0.05.
Los informes señalan que el ataque no comenzó con un error de código sino con un retiro de Tornado Cash. El 11 de marzo, el atacante retiró ETH del protocolo de privacidad basado en Ethereum y utilizó esos fondos para implementar el token carbonvote, o CVT, el 12 de marzo. Los analistas de blockchain notaron que la marca de tiempo de implementación correspondía aproximadamente a las 09:00 hora de Pyongyang, un detalle que levantó señales de alarma inmediatas.
Token DRIFT el 3 de abril de 2026.Varios informes detallan que durante las siguientes tres semanas, el atacante sembró liquidez mínima para CVT en el exchange descentralizado Raydium y utilizó wash trading (volumen falso) para mantener un precio cerca de $1.00. Los oráculos de Drift leyeron ese precio como legítimo. El atacante había construido garantía falsa que parecía real para cada sistema automatizado que la observaba.
"Hoy temprano, un actor malicioso obtuvo acceso no autorizado a Drift Protocol a través de un ataque novedoso que involucra nonces duraderos, resultando en una rápida toma de control de los poderes administrativos del Consejo de Seguridad de Drift," escribió el equipo de Drift.
La cuenta de X del proyecto añadió:
Ostensiblemente, entre el 23 y el 30 de marzo, el atacante de Drift se movió a la capa humana. Utilizando una función legítima de Solana llamada nonces duraderos, el atacante supuestamente indujo a miembros del multisig del Consejo de Seguridad de Drift a pre-firmar transacciones que parecían rutinarias. Esas firmas se convirtieron en claves de acceso pre-aprobadas, mantenidas en reserva hasta que el atacante estuviera listo.
La apertura se cerró el 27 de marzo, cuando Drift migró su Consejo de Seguridad a un umbral de firma de 2 de 5 y eliminó su timelock por completo. Un timelock típicamente fuerza un retraso de 24 a 72 horas en las acciones administrativas, dando a la comunidad tiempo para detectar y revertir cualquier cosa sospechosa. Sin él, el atacante tenía autoridad de ejecución sin retraso. Las transacciones pre-firmadas estaban activas en el momento en que el timelock desapareció.
El 1 de abril, el atacante activó esas transacciones, listó CVT como garantía válida, aumentó los límites de retiro y depositó cientos de millones en tokens CVT contra los cuales el motor de riesgo de Drift emitió activos reales. El protocolo entregó millones en tokens JLP, millones en USDC, millones en SOL y cantidades menores de bitcoin y ethereum envueltos. Treinta y una transacciones de retiro se procesaron en aproximadamente 12 minutos.
El atacante convirtió los tokens robados a USDC usando Jupiter, hizo un puente a Ethereum e intercambió a decenas de miles de ETH. Algunos fondos fueron enrutados a través de Hyperliquid, y una porción se movió directamente a Binance. El 3 de abril, Drift envió un mensaje en la cadena desde una dirección de Ethereum a cuatro carteras controladas por el hacker. La publicación cryptonomist.ch informa que el mensaje decía:
Las firmas de seguridad Elliptic y TRM Labs han atribuido el ataque a actores de amenaza vinculados a RPDC, citando el origen de Tornado Cash, la firma de implementación en hora de Pyongyang, el enfoque de ingeniería social y la velocidad de lavado posterior al hackeo. El Grupo Lazarus utilizó el mismo enfoque de paciencia y orientación humana en el hackeo del puente Ronin de 2022. El gobierno de EE.UU. ha vinculado estos robos al financiamiento del programa de armas de Corea del Norte, y Elliptic ha rastreado más de $300 millones robados solo en el primer trimestre de 2026.
El contagio se extendió a más de 20 protocolos. Prime Numbers Fi reportó pérdidas de millones. Carrot Protocol pausó las funciones de acuñación y canje después de que el 50% de su TVL se vio afectado. Pyra Protocol deshabilitó los retiros por completo, dejando todos los fondos de usuarios inaccesibles. Piggybank perdió $106,000 y reembolsó a los usuarios desde su propia tesorería del equipo.
DeFi Development Corp., una empresa cotizada en Nasdaq con una estrategia de tesorería en Solana, confirmó el 1 de abril que no tenía exposición a Drift. Su marco de riesgo excluía el protocolo por completo. Ese hecho atrajo más atención de la que la empresa probablemente pretendía.
El incidente de Drift produjo una lección clara que la mayoría de la industria ya conocía pero no había aplicado completamente: un timelock no es opcional. La eliminación de esa única salvaguarda el 27 de marzo convirtió un ataque complejo de varias semanas en un retiro de efectivo de 12 minutos. La gobernanza del protocolo sin un mecanismo de retraso es gobernanza con una puerta abierta.
Las siguientes 48 horas después del ataque DeFi fueron descritas como críticas para la capacidad de Drift de retener la confianza del usuario y trazar un camino de recuperación. Al 3 de abril, no se había anunciado ningún plan de reembolso integral.
FAQ 🔎
- ¿Qué pasó con Drift Protocol? Los atacantes drenaron $286 millones de Drift Protocol el 1 de abril de 2026, utilizando garantía falsa y transacciones administrativas pre-firmadas para vaciar las bóvedas centrales del protocolo en 12 minutos.
- ¿Quién es responsable del hackeo de Drift Protocol? Firmas de seguridad, incluyendo Elliptic y TRM Labs, han atribuido el ataque a actores de amenaza vinculados a RPDC, citando patrones de lavado y marcas de tiempo en la cadena consistentes con las técnicas del Grupo Lazarus.
- ¿Está seguro mi dinero en Drift Protocol? Drift suspendió todos los depósitos y retiros tras el ataque; los usuarios en protocolos afectados como Pyra y Carrot permanecen incapaces de acceder a fondos al 3 de abril de 2026.
- ¿Qué es un ataque de nonce duradero en Solana DeFi? Un ataque de nonce duradero utiliza una función legítima de Solana para pre-firmar transacciones que parecen rutinarias, manteniéndolas como claves de autorización activas hasta que el atacante elige ejecutarlas.
Fuente: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
