Drift Protocol sufre un hackeo de hasta 285 millones de dólares y deja al descubierto el riesgo de la "llave maestra" en DeFi

1 de abril, Día de los Inocentes en muchos países. Cuando empezaron a circular las primeras alertas, la reacción inicial de la comunidad fue pensar que se trataba de una broma. No lo era. En torno a las 13:30, las cuentas de monitorización on-chain Lookonchain y PeckShield avisaron casi a la vez de una salida masiva de fondos desde la tesorería de Drift Protocol, el mayor exchange de perpetuos en Solana. Una cartera que comenzaba por "HkGz4K" ejecutó una secuencia de retiradas fulminantes: primero, 410 millones de tokens JLP (unos 155 millones de dólares). Después, 51,6 millones de USDC, 125.000 WSOL, 164.000 cbBTC y decenas de activos más. En apenas una hora, los activos del vault pasaron de 309 millones a 41 millones, evaporando más de la mitad del TVL. El equipo de Drift publicó un mensaje urgente en X: "Drift Protocol está bajo ataque activo. Hemos pausado depósitos y retiradas. Estamos coordinándonos con varias firmas de seguridad, puentes cross-chain y exchanges para contener la situación". Cerró con una frase que marcó el tono del incidente: "Esto no es una broma del 1 de abril". La magnitud exacta del robo varía según la fuente. PeckShield estima unos 285 millones de dólares; Arkham, más de 250 millones; y CertiK sitúa su evaluación preliminar en torno a 136 millones. Sea cual sea el dato definitivo, se perfila como el mayor incidente de seguridad DeFi de 2026 hasta la fecha. Más allá de las cifras, lo que inquieta es el método. Jiang Xuxian, fundador de PeckShield, dijo a Decrypt que la clave de administrador de Drift "fue claramente comprometida". Investigadores on-chain concluyen que el atacante obtuvo acceso privilegiado al protocolo y, con ello, control sobre la salida de fondos de la tesorería. Sin exploit sofisticado, sin flash loans ni manipulación de oráculos: el fallo de seguridad más básico, la pérdida o exposición de una clave privada. Los datos también sugieren preparación. La cartera recibió financiación inicial a través de Near Intents ocho días antes del ataque y permaneció inactiva. Una semana antes, incluso recibió una transferencia mínima de 2,52 dólares desde la tesorería de Drift, interpretada como una prueba. Días después, llegó el vaciado. El golpe alcanza de lleno la narrativa de Drift y de su cofundadora, Cindy Leow. La historia de esta emprendedora malasio-china había sido presentada como uno de los relatos más inspiradores en Solana DeFi. Tras operar arbitraje de Bitcoin entre China y Corea en 2016, gestionar un fondo propio y participar en proyectos de derivados en Ethereum, en 2021 cofundó Drift junto a David Lu, apostando por Solana para construir perpetuos on-chain. Drift creció al ritmo de los ciclos del mercado: en 2024 cerró dos rondas lideradas por Polychain y Multicoin por un total de 525 millones de dólares; lanzó un mercado de predicción para competir con Polymarket, incorporó apalancamiento 50x, superó 550 millones de TVL y rebasó 50.000 millones de dólares en volumen acumulado. En una entrevista con Fortune, Leow describió su ambición: convertir Drift en el "Robinhood del cripto". La comparación hoy suena amarga. El mensaje central de DeFi es "no custodial": los fondos no pasan por manos de terceros, solo interactúan con código. El problema es que detrás del código suele existir una clave de administración, y su seguridad depende de personas, no de matemáticas. Además, el caso tiene un precedente inquietante. En 2022, durante la etapa Drift v1, la tesorería ya se vació en un incidente similar. El equipo publicó entonces un informe técnico muy detallado e incluso un fragmento proof-of-concept que mostraba cómo un atacante podía drenar toda la tesorería en una sola transacción. Aquella pérdida fue de 14,5 millones de dólares y el equipo reembolsó íntegramente. Cuatro años después, el mismo patrón reaparece a una escala veinte veces mayor. Mirado en conjunto, el incidente encaja en una tendencia más amplia: la vulnerabilidad no está solo en los smart contracts, sino en la infraestructura y en la custodia de llaves privilegiadas. A comienzos de 2025, Resolv Labs sufrió la comprometida de su AWS Key Management Service, lo que permitió autorizar acuñaciones a gran escala del stablecoin USR y desencadenó pérdidas en cascada. Ese mismo año, el robo total en cripto alcanzó un récord de 3.400 millones de dólares, y Chainalysis destacó el giro hacia ataques en la capa de infraestructura: equipos de desarrollo comprometidos, llaves únicas guardadas en la nube y procesos de firma manipulados mediante ingeniería social. Con Drift, el diagnóstico se refuerza: la seguridad de claves privadas y privilegios de administrador se ha convertido en el mayor riesgo sistémico de DeFi. La brecha entre el relato de descentralización y la realidad operativa es enorme. Muchos protocolos mantienen "llaves del reino" (permisos de upgrade, control de tesorería, pausas de emergencia). Pueden existir por seguridad o por flexibilidad, pero en esencia introducen un punto de confianza central en un sistema que se vende como "trustless". ¿Dónde terminó el dinero? La operativa del atacante fue rápida y metódica. Tras retirar los activos, convirtió gran parte a stablecoins y envió los fondos a Ethereum mediante el puente Wormhole. Ya en Ethereum, destinó una parte a comprar aproximadamente 19.913 ETH (valorados en torno a 42,6 millones de dólares) y distribuyó el resto entre múltiples direcciones. Entre los detalles más llamativos: la cartera del atacante conserva una gran cantidad de Fartcoin, equivalente a alrededor del 2,5% del suministro total del token. Un robo de primer orden en DeFi conviviendo con una posición relevante en un meme coin. A la hora de cierre, Drift mantenía suspendidos los depósitos y retiradas. El token DRIFT cayó de cerca de 0,072 dólares antes del ataque a alrededor de 0,05 dólares, un descenso superior al 28%. Desde su máximo histórico de 2,60 dólares, la caída acumulada supera el 98%. Phantom Wallet ha mostrado advertencias a usuarios que intentan acceder a Drift. El equipo afirma estar coordinándose con firmas de seguridad, operadores de puentes y exchanges centralizados para rastrear e intentar congelar los fondos, aunque la experiencia indica que recuperar activos puenteados y fragmentados en múltiples carteras suele ser poco probable. El incidente reabre una pregunta incómoda para el sector. En su informe de finales de 2025, Chainalysis señalaba con optimismo que la seguridad en DeFi había avanzado de forma "sustancial", con pérdidas por hackeos a la baja pese a que el TVL se recuperó hasta 11.900 millones de dólares. Citaba el caso de Venus Protocol como ejemplo: su sistema detectó anomalías 18 horas antes, el protocolo suspendió operaciones y la gobernanza congeló fondos, hasta el punto de que el atacante terminó perdiendo dinero. Drift cuestiona ese relato de progreso. Se pueden auditar contratos hasta el extremo y desplegar la monitorización on-chain más avanzada; si una sola clave de administrador cae por phishing, ingeniería social o fuerza bruta, el resto de defensas se desmorona. La industria necesita clarificar qué significa realmente "no custodial". Si una clave de administración puede extraer en cualquier momento todos los activos del vault, ¿en qué se diferencia eso de ingresar dinero en una cuenta controlada por un desconocido? Al menos, los bancos cuentan con seguros, regulación y vías legales. La solución no pasa necesariamente por eliminar privilegios administrativos, a veces imprescindibles. Pero sí por reconocerlos y elevar el estándar: gobernanza multi-firma, time locks, módulos de seguridad hardware (HSM), rotación de claves. Son herramientas disponibles desde hace años. Aun así, demasiados protocolos siguen fiando la seguridad de cientos de millones de dólares a la prudencia de una o dos personas. El sueño de un "Robinhood cripto" es atractivo. Antes de perseguirlo, la pregunta esencial es otra: ¿quién tiene la llave?