La plataforma DeFi Drift Protocol, una de las principales DEX del ecosistema Solana, confirmó un incidente de seguridad de gran escala: el 1 de abril de 2026 se extrajeron de la plataforma aproximadamente 285 millones de dólares. El caso ya se considera un ejemplo paradigmático de cómo las debilidades en la gobernanza y los procesos, más que en el código, pueden comprometer por completo una infraestructura DeFi.
Cómo se ejecutó el hack a Drift Protocol en la red Solana
Según el equipo de Drift, el atacante consiguió acceso no autorizado a permisos administrativos del protocolo aprovechando una técnica poco habitual basada en el mecanismo de durable nonce de Solana. Este mecanismo permite firmar transacciones por adelantado y ejecutarlas más tarde, evitando que la firma caduque.
El vector clave consistió en lograr que varias transacciones fueran preaprobadas y firmadas por los titulares del multisig, ocultando su finalidad real. Una vez reunidas las firmas necesarias, el atacante ejecutó en cadena estas transacciones de forma coordinada, lo que permitió el secuestro del Security Council y la transferencia de los privilegios administrativos en cuestión de minutos.
El equipo de Drift subraya que no se ha identificado una vulnerabilidad en los smart contracts ni en los programas de Solana, ni evidencias de robo de seed phrases. El punto crítico fueron las aprobaciones de transacciones no autorizadas o mal representadas, lo que apunta a un uso avanzado de ingeniería social combinado con una explotación del modelo de gobernanza y de las políticas de multisig.
Durable nonce, multisig y token falso: anatomía técnica del ataque DeFi
Escalada de privilegios y desactivación de controles de riesgo
Una vez obtenidas suficientes firmas en el multisig, el atacante lanzó transacciones diseñadas para reasignar los derechos de administración del protocolo. Con este control, pudo eliminar límites de retirada y modificar parámetros clave, incluyendo la incorporación de un nuevo activo no contemplado en la configuración original.
De acuerdo con TRM Labs, el atacante desplegó un token completamente ficticio denominado CarbonVote Token, al que aportó apenas unos miles de dólares en liquidez y generó volumen artificial mediante wash trading. Pese a su valor real insignificante, los oráculos de Drift interpretaron el token como un activo altamente líquido con una capitalización de cientos de millones de dólares. Esta sobrevaloración permitió utilizarlo como colateral inflado para retirar activos genuinos de los usuarios.
TRM Labs destaca que el contrato de CarbonVote Token se desplegó a las 09:30 hora de Pionyang, un dato horario que, aunque no es una prueba definitiva, se suma a otros indicadores de posible origen geográfico del ataque.
Preparación previa y respuesta coordinada
La línea temporal interna de Drift sitúa el inicio de la preparación del ataque no más tarde del 23 de marzo de 2026. El protocolo afirma estar trabajando con firmas especializadas en ciberseguridad, operadores de puentes cross‑chain, exchanges centralizados y fuerzas del orden para rastrear y bloquear los fondos robados, siguiendo patrones similares de respuesta que se han visto en incidentes como Ronin o Wormhole.
Vínculos con Corea del Norte: análisis de TRM Labs y Elliptic
En informes separados, TRM Labs y Elliptic señalan que el comportamiento on-chain y las fases de blanqueo de capitales presentan fuertes similitudes con los patrones de las células cripto de Corea del Norte (DPRK), a menudo asociadas al grupo Lazarus y clústeres afines.
Entre los indicadores clave se encuentran el uso temprano del mezclador Tornado Cash, patrones de salto entre cadenas (cross‑chain) muy característicos, y una elevada velocidad y volumen en la fase de cash‑out. Estos rasgos ya se habían observado en ataques atribuidos a actores norcoreanos, incluido el gran hack a Bybit en 2025, donde se robaron cerca de 1,46 mil millones de dólares dentro de un año récord de aproximadamente 2 mil millones sustraídos.
Según Elliptic, si se confirma la implicación de actores vinculados a la DPRK, el caso Drift sería ya la decimoctava operación del año asociada a estos grupos, con un daño acumulado en 2026 superior a los 300 millones de dólares. En conjunto, los analistas estiman que, en los últimos años, las operaciones asociadas a la DPRK han generado más de 6.500 millones de dólares en criptoactivos robados, parte de los cuales se habrían destinado al financiamiento de programas armamentísticos.
Ingeniería social avanzada: campañas DangerousPassword y Contagious Interview
El vector de entrada predominante en estas intrusiones sigue siendo la ingeniería social dirigida a empleados de empresas cripto y proyectos Web3. Se han documentado campañas como DangerousPassword (también conocida como CageyChameleon, CryptoMimic o CryptoCore) y Contagious Interview, basadas en identidades falsas y ofertas de trabajo atractivas para obtener acceso privilegiado.
Hasta finales de febrero de 2026, la ganancia estimada solo de estas dos campañas ronda los 37,5 millones de dólares. Elliptic enfatiza que la actividad cripto de la DPRK no es una serie de incidentes aislados, sino una campaña sostenida, bien financiada y escalable, alineada con objetivos estratégicos estatales.
Ataques a la cadena de suministro: Axios y el grupo UNC1069
En paralelo al caso Drift, distintos fabricantes de seguridad (Google, Microsoft, CrowdStrike, Sophos) han atribuido a una célula norcoreana denominada UNC1069 la comprometida de la cadena de suministro del popular paquete npm Axios. Esta operación se solapa con clústeres como BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet y Stardust Chollima, todos ellos asociados a campañas de robo de criptoactivos.
Investigaciones de Sophos señalan que los artefactos usados en el ataque a Axios comparten metadatos forenses casi idénticos, infraestructuras de mando y control (C2) similares y vínculos con malware previamente observado únicamente en operaciones de Nickel Gladstone. Este solapamiento refuerza la hipótesis de operaciones coordinadas y patrocinadas por un Estado centradas en la generación de ingresos ilícitos.
El incidente de Drift Protocol evidencia que, para los proyectos DeFi, es tan crítico el diseño seguro del código como la seguridad de la gobernanza: políticas estrictas de multisig con dispositivos y entornos segregados para firmantes, verificación independiente de cualquier cambio de permisos administrativos, timelocks no triviales en operaciones sensibles, monitorización autónoma de anomalías en oráculos y formación continua contra ingeniería social. En un contexto donde grupos patrocinados por Estados combinan técnicas avanzadas, IA y campañas de larga duración, cada desarrollador, firmante de multisig y custodio de claves debe asumir que es un objetivo prioritario y elevar su nivel de ciberprotección personal y corporativa en consecuencia.
