TL;DR

  • Drift Protocol fue objeto de un ataque el 1 de abril de 2026, donde se robaron aproximadamente 285 millones de dólares en activos digitales.
  • Los atacantes pasaron seis meses construyendo confianza a través de una empresa comercial falsa, engañando a dos de los cinco firmantes multisig para que pre-firmaran transacciones maliciosas.
  • Con un grado de certeza «medio a alto», Drift y el equipo SEAL 911 vinculan la operación a actores norcoreanos detrás del hackeo anterior de Radiant Capital.
  • El ataque se considera el mayor incidente DeFi de 2026 y destaca el error humano como el eslabón más débil en la seguridad DeFi.

Una empresa comercial falsa durante seis meses

El ataque a Drift Protocol el 1 de abril de 2026 no fue un golpe impulsivo. Según The Block, la operación había estado en curso durante al menos seis meses antes de que se produjera la extracción. Los atacantes crearon una empresa comercial aparentemente legítima, realizaron reuniones cara a cara con los colaboradores de Drift y, de hecho, depositaron más de un millón de dólares en uno de los Ecosystem Vaults de la plataforma para parecer creíbles.

Durante los meses, participaron en discusiones de productos, construyeron relaciones y esperaron el momento oportuno.

Los humanos siguen siendo el cuello de botella. La mayoría de los ataques se reducen a un solo clic en un enlace que no debería haberse clicado.

Así lo afirma Mert Mumtaz, CEO y cofundador de Helius, y su análisis da en el clavo del incidente de Drift. No se explotó ninguna vulnerabilidad en los contratos inteligentes. En cambio, dos de los cinco administradores del Consejo de Seguridad de Drift fueron manipulados para pre-firmar transacciones maliciosas a través de la función «durable nonce» incorporada de Solana, que permite que las transacciones pre-firmadas permanezcan válidas indefinidamente.

Hackeo de Drift: 6 meses de infiltración resultaron en 2.4 mil millones de coronas noruegas

Multisig sin bloqueo de tiempo – una combinación catastrófica

En el momento del ataque, Drift operaba con una configuración multisig de 2 de 5 sin ningún tipo de bloqueo de tiempo. Esto significa que solo dos de los cinco aprobadores eran necesarios para ejecutar acciones administrativas con efecto inmediato, una configuración que TRM Labs describe como la eliminación de «la última línea de defensa del protocolo».

La actividad en cadena muestra que los atacantes comenzaron a posicionarse ya el 11 de marzo de 2026, casi tres semanas antes de la operación real. La empresa de análisis de blockchain Elliptic ha identificado varios indicadores que apuntan a actores patrocinados por el estado de Corea del Norte. Drift y el equipo SEAL 911 evalúan con una certeza «media a alta» que estos son los mismos actores detrás del hackeo de Radiant Capital.

Hackeo de Drift: 6 meses de infiltración resultaron en 2.4 mil millones de coronas noruegas

Corea del Norte: Una amenaza creciente para DeFi

El incidente de Drift encaja en un patrón cada vez más claro. Los grupos de hackers norcoreanos, según la inteligencia disponible, han robado más de 6.7 mil millones de dólares en criptomonedas durante la última década. Solo en 2025, se estableció un récord con 2.02 mil millones de dólares, incluyendo el ahora infame hackeo de Bybit, donde aproximadamente 1.5 mil millones de dólares en Ethereum desaparecieron en una noche.

$285M
Robados de Drift (abril de 2026)
$6.7B
Robos totales de criptomonedas estimados de Corea del Norte

Una táctica central es establecer confianza a largo plazo en lugar de atacar directamente los sistemas técnicos. El FBI ha advertido previamente contra operaciones denominadas «TraderTraitor», donde actores norcoreanos se presentan como operadores comerciales serios o reclutadores para comprometer a personal clave con acceso al sistema.

La industria reacciona: «Pausar el crecimiento y realizar auditorías»

Tras el incidente, Drift Protocol congeló inmediatamente toda la funcionalidad restante, detuvo los depósitos y retiros, y actualizó la configuración multisig para eliminar las billeteras comprometidas. El equipo está colaborando con varias empresas de seguridad y autoridades policiales.

Ninguna auditoría de contrato inteligente puede proteger contra un ataque donde el ser humano es el punto de vulnerabilidad

Armani Ferrante, un destacado desarrollador de Solana, instó a todos los equipos de criptomonedas a «pausar los esfuerzos de crecimiento y auditar toda su pila de seguridad» a raíz del incidente. Charles Guillemet, CTO de Ledger, señaló la necesidad de una mejor detección de puntos finales y firmas basadas en hardware como medidas concretas que la industria debe priorizar.

El hackeo de Drift es un recordatorio de que incluso los protocolos con una sólida base técnica pueden verse gravemente afectados cuando las debilidades humanas y organizativas se explotan sistemáticamente a lo largo del tiempo.