Drift: más de 280 millones de dólares robados en April Fools, ¿hackeo o auto-robo?

Shaw，Gaceta de Finanzas Doradas

2 de abril de 2026, el protocolo de trading de derivados Drift Protocol sufrió un incidente de seguridad; los datos on-chain muestran que la pérdida supera los 285 millones de dólares. El equipo del proyecto afirmó que ya detectó actividades anómalas y está investigando, e instó a los usuarios a no depositar fondos en el protocolo por el momento; además, recalcó: “esto no es una broma del Día de los Inocentes”.

El ataque involucró múltiples pools de fondos, incluidos JLP Delta Neutral, SOL Super Staking y BTC Super Staking, entre otros. Un solo envío de aproximadamente 41,7 millones de tokens JLP transfirió un valor cercano a 155 millones de dólares; además, activos como SOL, USDC, cbBTC y wBTC también fueron retirados.

Según las estadísticas, el incidente podría convertirse en uno de los mayores ataques de DeFi en la comunidad Solana después del exploit del Wormhole bridge, tanto en escala como en magnitud.

I. Últimos avances del incidente en el que se atacó a Drift Protocol

En la hora del Este de EE. UU., el 1 de abril de 2026, el protocolo descentralizado de derivados de Solana Drift Protocol sufrió un importante ataque de un hacker; los activos robados ascienden aproximadamente a 285 millones de dólares. Los activos principales robados incluyen: alrededor de 41,7 millones de tokens JLP, con un valor de 155,6 millones de dólares; y también múltiples activos como USDC, SOL, cbBTC y wBTC. Este incidente de robo se convirtió en uno de los segundos ataques más grandes en la historia de Solana y, a la vez, en el ataque con mayor escala en DeFi.

Después, Drift Protocol publicó en su plataforma social para confirmar: “Drift Protocol está siendo atacado. Las funciones de depósitos y retiros se han pausado. Estamos coordinando con varias instituciones de seguridad, puentes entre cadenas y exchanges para controlar la situación a toda costa. Esto no es una broma del Día de los Inocentes. Más información se publicará en esta cuenta lo antes posible”.

El ataque comenzó en las primeras horas del 2 de abril. La plataforma de monitoreo on-chain PeckShield emitió una alerta: la dirección de la tesorería principal de Drift comenzó a realizar grandes transferencias hacia una nueva billetera creada, HkGz4K. Los primeros activos transferidos fueron principalmente tokens JLP (Jito Liquidity Provider), por un valor aproximado de 155 millones de dólares; luego siguieron USDC, SOL, cbBTC, wBTC, WETH y algunas monedas meme. Los datos de PeckShield indican que, en poco tiempo, el total de activos salientes acumuló 285 millones de dólares.

Según el monitoreo de Yujin, los activos de 285 millones de dólares robados por Drift ya se han convertido en 129.000 ETH (278 millones de dólares). En las últimas horas, los hackers vendieron estos activos mediante múltiples métodos y los transfirieron entre cadenas hacia la red Ethereum; después, en la red Ethereum, compraron ETH. Ahora, los activos de 285 millones de dólares robados en Solana ya se han convertido en 129.066 ETH en la red Ethereum.

Además, el equipo de seguridad SlowMist indicó en redes sociales que, en este momento, los fondos robados están básicamente concentrados en las siguientes direcciones de Ethereum: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674, 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7, 0xaa843ed65c1f061f111b5289169731351c5e57c1; total: 105.969 ETH (aprox. 226 millones de dólares).

Clúster de direcciones del hacker：

II. Interpretación del ataque a Drift Protocol: ¿“robo desde dentro” por parte del proyecto?

Este ataque fue una combinación cuidadosamente planeada de intrusión de permisos + manipulación de precios. La clave está en que, después de que el hacker robó los permisos de administrador, mediante la falsificación de tokens y la manipulación de oráculos, logró superar instantáneamente los límites de fondos y arrasó la tesorería del protocolo. El hacker, al obtener la clave privada del administrador, desactivó el núcleo del control de riesgos del protocolo (límite de retiros); posteriormente, usó garantías falsas para retirar en lote desde el pool de fondos y completó el blanqueo de dinero mediante la transferencia entre cadenas de los activos.

En respuesta al incidente de robo de activos causado por el ataque a Drift Protocol, el fundador de SlowMist, Yu Xian, publicó un análisis del incidente de Drift, señalando que una semana antes del ataque, Drift ajustó el mecanismo de multisig a “2/5” (1 firmante antiguo + 4 firmantes nuevos) y no configuró un time lock (timelock). Luego, el atacante obtuvo los permisos de administrador, falsificó los tokens CVT, manipuló el oráculo, cerró los mecanismos de seguridad y transfirió activos de alto valor desde el pool de fondos.

El cofundador de Chaos Labs, Omer Goldberg, también señaló en redes sociales que, hace una semana, Drift migró a una nueva billetera multisig. Dicha billetera fue creada por uno de los firmantes de los multisig anteriores. Y este firmante no se agregó a la nueva lista de firmantes múltiples. El atacante también presentó una propuesta en el multisig anterior para transferir los permisos de administrador a esa nueva billetera. El nuevo multisig consta de 5 firmantes en total: solo 1 proviene del equipo original; los otros 4 son direcciones completamente nuevas. Esta billetera se configuró con un umbral multisig de 2/5 y sin ningún time lock (sin retraso de 0 segundos). Aproximadamente hace 5 horas, este único firmante original inició una propuesta mediante el nuevo multisig para cambiar los permisos de administrador de Drift. Un nuevo firmante firmó en un segundo, cumpliendo instantáneamente el umbral 2/5. Debido a que no hay time lock, la transacción se ejecutó de inmediato.

Combinando la evidencia on-chain actual, las acciones del equipo, el flujo de fondos y otros factores, la posibilidad de un “robo desde dentro” es efectivamente la dirección con mayor nivel de conversación y las mayores dudas en el círculo en este momento, e incluso es más lógica que “la intrusión de un hacker externo”. Antes, el equipo ajustó el mecanismo de multisig, dejando la estructura de permisos demasiado “conveniente para un ataque”, no parecía un accidente; la técnica del ataque “demuestra que conoce demasiado bien la lógica interna”, totalmente incompatible con el estilo de un hacker externo, y además, la respuesta oficial a un robo de tal magnitud fue inusualmente serena. Después del robo, el flujo de fondos fue muy limpio y claro: se convirtió rápidamente en ETH y se realizaron operaciones entre cadenas; además, no hubo entradas a exchanges centralizados que fueran fáciles de congelar. Todo este proceso y lógica operativa. Ha hecho que en la comunidad aumentaran mucho las sospechas sobre que la parte oficial de Drift “robó desde dentro”.

III. Reacciones de partes relacionadas y de la comunidad cripto

Tras el incidente de robo de activos de Drift Protocol, las partes relacionadas y la comunidad cripto reaccionaron de manera diferente:

• En el incidente de robo del protocolo DeFi Drift, la pérdida de la posición JLP ronda los 155,6 millones de dólares. Al respecto, Jupiter oficial señaló que el sitio no se vio afectado por este incidente; su producto de préstamos Jupiter Lend no involucró el mercado de Drift, y que el activo JLP “está completamente respaldado por activos subyacentes”. Jupiter también indicó que, para el ecosistema DeFi de Solana, este incidente fue “un día difícil” y expresó su preocupación al equipo de Drift y a los usuarios afectados.

• El protocolo de generación de rendimientos Unitas Protocol publicó en X indicando que no se vio afectado por el incidente del ataque a Drift Protocol. Unitas en Drift no tiene ninguna exposición. Todas las garantías están seguras, todas las estrategias (incluida la estrategia JLP Delta neutral) operan normalmente. Los fondos de los usuarios están seguros. Las garantías pueden validarse en tiempo real a través del panel de prueba de reservas de Accountable y Primus Labs.

• Meteora, protocolo de liquidez de Solana publicó en X indicando que todos los fondos en Meteora están seguros; todas las funciones y la tesorería del platform no interaccionaron con el protocolo Drift.

• Anna, fundadora de la infraestructura de stablecoins Perena, publicó en X indicando que sus Perena USD*, USD*-J y USD*-P no se vieron afectados por el incidente del ataque a Drift. Sin embargo, la tesorería JLP del JLP custody del administrado por Neutral Trade, una plataforma de intercambio y compartición de estrategias cuantitativas del ecosistema Solana, sí se vio afectada debido a que opera sobre Drift Protocol; el equipo mantiene comunicación con los socios y seguirá actualizando el progreso.

• Usuario de X @hzkj99： El protocolo de activos Drift Protocol en el ecosistema SOL fue robado, con pérdidas de cientos de millones de dólares; siempre que haya fondos involucrados, la seguridad es lo primero, especialmente en un mercado bajista, también habrá nuevos protocolos robados. Este mundo es un enorme montaje de escenario barato; algunos protocolos incluso pueden ser robados varias veces, y Drift tampoco es el último que será robado.

• Usuario de X @lanhubiji： Drift Protocol sufrió una explotación de una vulnerabilidad importante, con una pérdida de aproximadamente el rango de 270 millones de dólares; es uno de los mayores incidentes de ataque a DeFi en lo que va de 2026. En algunas publicaciones, de manera totalmente seria dicen: “La Fundación Solana está coordinando un rollback con los servidores del sótano de Toly (cofundador)”. Aunque es un chiste, decirlo así se pasa un poco.

• Usuario de X @EnHeng456： En un mercado bajista, de verdad hay que tener mucho cuidado al guardar dinero; ahora el entorno es cada vez menos seguro, por todas partes hay noticias de robos. Algunos protocolos antiguos también se meten en problemas específicamente durante el mercado bajista. Te cuesta incluso distinguir si fue un ataque de hackers o un “robo desde dentro”. Yo recientemente soy conservador: solo lo mantengo honestamente en USD1 y no me atrevo a dejarlo por ahí. Con este tipo de mercado, cuanto más te mueves, más fácil es que salgan problemas; a veces, no hacer nada es lo mejor. Drift fue robado con 200 millones de dólares y el dinero fue a parar al bolsillo del general.

IV. Impacto del incidente de robo de Drift Protocol

El incidente del robo de 285 millones de dólares de Drift Protocol es el segundo mayor ataque DeFi en la historia del ecosistema Solana. Su impacto va mucho más allá del propio protocolo: golpea fuerte la confianza del ecosistema Solana y acelera los cambios de seguridad en DeFi.

Este ataque expuso fallas fatales en la gestión de permisos multisig y en la seguridad de los oráculos de los proyectos DeFi. Los permisos son la tesorería; si una clave de administrador cae en manos de terceros y no hay mecanismos de frenado de emergencia como timelocks, incluso la lógica de código más compleja puede dejar de funcionar instantáneamente. Para Drift Protocol: a menos que se recupere el gran dinero o entre “un pez gordo” como comprador sustituto, el destino será liquidación, bancarrota y demandas. Para Solana y su ecosistema: el golpe es grave para la reputación; habrá salida de fondos a corto plazo y desaceleración del crecimiento; a largo plazo, se verá obligado a actualizar la seguridad. Y para toda la industria DeFi: se puede decir que es un punto de inflexión; “la seguridad de los permisos es más importante que la seguridad del código” se convierte en una regla de hierro. Los costos de confianza aumentan de forma drástica, y DeFi entrará en una nueva etapa de mayor cumplimiento, más transparencia y mayor centralización (gobernanza de seguridad).