Drift Protocol sacudido por un ataque DeFi histórico

El martes 1 de abril de 2026, el Drift Protocol, basado en Solana, anunció que su plataforma estaba bajo un ataque activo. Cuando el polvo se asentó, tres de las bóvedas principales de la compañía estaban casi completamente vacías. Según Elliptic, los fondos robados ascendieron a un total de $286 millones, lo que convierte el incidente en el mayor ataque de finanzas descentralizadas (DeFi) registrado hasta ahora en 2026, según Bitcoinist.

Drift confirmó abiertamente el ataque e inmediatamente suspendió los depósitos y retiros. El protocolo ahora está coordinando con varias empresas de seguridad, puentes entre cadenas y exchanges para limitar la magnitud del daño.

$286M
Total robado
$550M → <$250M
TVL de Drift antes y después
¿Corea del Norte detrás del robo de $286 millones en Solana: Tu contribución DeFi a Pyongyang?

Así fueron vaciadas las bóvedas

El ataque fue todo menos impulsivo. Según Elliptic, la billetera del atacante fue creada ocho días completos antes del robo, y recibió una pequeña transacción de prueba de una bóveda de Drift en el ínterin, una característica clásica de una operación cuidadosamente planificada.

Las tres bóvedas más afectadas fueron JLP Delta Neutral, SOL Super Staking y BTC Super Staking. La mayor transferencia individual, aproximadamente 41.7 millones de tokens JLP, tenía un valor de alrededor de $155 millones en el momento de la transacción. Además, se robaron USDC, SOL, cbBTC, wBTC y varios tokens de staking líquido.

Una parte central del ataque consistió en tomar el control de los derechos administrativos del consejo de seguridad de Drift. Esto ocurrió, según se informa, a través de ingeniería social avanzada combinada con transacciones pre-firmadas. Los atacantes también fabricaron un token ficticio llamado CarbonVote Token (CVT) y manipularon datos de oráculo para inflar artificialmente el valor de garantía de CVT, una técnica que permitió extracciones adicionales.

¿Corea del Norte detrás del robo de $286 millones en Solana: Tu contribución DeFi a Pyongyang?

Fondos rápidamente blanqueados a través de Ethereum

Después de que las bóvedas fueron vaciadas, el atacante intercambió los tokens robados por USDC a través de un agregador DEX basado en Solana. Luego, los fondos fueron puenteados a la red de Ethereum y posteriormente intercambiados por ETH, un patrón que los analistas reconocen de operaciones anteriores patrocinadas por el estado.

El atacante llevó a cabo el blanqueo de cientos de millones de dólares en poco tiempo, y los fondos desaparecieron rápidamente en el ecosistema de Ethereum.

Elliptic y TRM Labs señalan a Pyongyang

Elliptic concluye que "el comportamiento en cadena, las técnicas de blanqueo de dinero y los indicadores de red asociados con el ataque son consistentes con los métodos observados en operaciones anteriores atribuidas a la RPDC", según Bitcoinist. TRM Labs destaca similitudes específicas con el exploit de Bybit en 2025: el uso de Tornado Cash, una sincronización precisa que coincide con el horario de oficina norcoreano, un agresivo puenteo entre cadenas y patrones idénticos de blanqueo de dinero.

El propio Drift Protocol describió el incidente como "un ataque con seis meses de planificación" y lo atribuye con un grado medio de certeza al grupo de hackers norcoreano UNC4736, también conocido por los alias AppleJeus, Citrine Sleet, Golden Chollima y Gleaming Pisces.

Es importante enfatizar que la atribución de ciberataques patrocinados por el estado nunca es cien por ciento segura, y no se conoce ninguna acusación pública o confirmación oficial gubernamental en el momento de la publicación. Sin embargo, la convergencia entre dos analistas independientes es sorprendente.

"El comportamiento en cadena y las técnicas de blanqueo de dinero son consistentes con los métodos observados en operaciones anteriores atribuidas a la RPDC" — Elliptic

Un patrón que sigue escalando

Si la atribución se mantiene, este sería el 18º ataque cripto vinculado a la RPDC que Elliptic ha rastreado solo este año. La cantidad total que se cree que los actores norcoreanos han robado en 2026 supera así los $300 millones, y más de $6.5 mil millones en los últimos años. Las autoridades estadounidenses han vinculado previamente este tipo de robos directamente a la financiación de los programas de armas de Corea del Norte.

Para los usuarios de protocolos DeFi, el caso subraya una realidad incómoda: los fondos colocados en bóvedas descentralizadas pueden, independientemente de la intención del usuario, terminar financiando la inteligencia estatal y el desarrollo militar en uno de los regímenes más cerrados del mundo.