coin-img-ETHETH-3.41%coin-img-BTCBTC-2.71%coin-img-SOLSOL-5.80%coin-img-XAUTXAUT-1.93%coin-img-PAXGPAXG-1.92%coin-img-BASEDBASED-3.30%coin-img-CDDCDD+400.00%coin-img-XRPXRP-2.35%coin-img-ETHETH-3.41%coin-img-BTCBTC-2.71%coin-img-SOLSOL-5.80%coin-img-XAUTXAUT-1.93%coin-img-PAXGPAXG-1.92%coin-img-BASEDBASED-3.30%coin-img-CDDCDD+400.00%coin-img-XRPXRP-2.35%coin-img-ETHETH-3.41%coin-img-BTCBTC-2.71%coin-img-SOLSOL-5.80%coin-img-XAUTXAUT-1.93%coin-img-PAXGPAXG-1.92%coin-img-BASEDBASED-3.30%coin-img-CDDCDD+400.00%coin-img-XRPXRP-2.35%coin-img-ETHETH-3.41%coin-img-BTCBTC-2.71%coin-img-SOLSOL-5.80%coin-img-XAUTXAUT-1.93%coin-img-PAXGPAXG-1.92%coin-img-BASEDBASED-3.30%coin-img-CDDCDD+400.00%coin-img-XRPXRP-2.35%

Drift Protocol sufre un hackeo de 285 millones de dólares tras el robo de una clave de administrador

Drift tocó de lleno la herida más dolorosa del sector en la fecha más propensa a la incredulidad: 1 de abril, Día de los Inocentes en EE. UU. El mayor exchange de perpetuos de Solana, Drift Protocol, estaba siendo vaciado y la primera reacción de la comunidad fue pensar que se trataba de una broma. No lo era. Hacia las 13:30, las cuentas de monitorización on-chain Lookonchain y PeckShield alertaron casi a la vez: una cartera que comienza por "HkGz4K" estaba drenando con rapidez activos de la tesorería de Drift. La primera salida fue de 410 millones de tokens JLP, valorados en 155 millones de dólares. Después llegaron 51,6 millones de USDC, 125.000 WSOL, 164.000 cbBTC y más activos en cascada. En apenas una hora, los fondos del vault pasaron de 309 millones a 41 millones, evaporando más de la mitad del TVL. El equipo de Drift publicó en X un mensaje de tono inusualmente urgente: "Drift Protocol está bajo ataque activo. Se han pausado los depósitos y retiradas. Estamos coordinándonos con varias firmas de seguridad, puentes cross-chain y exchanges para contener la situación". Y añadió la frase que marcó el momento: "Esto no es una broma del April Fools". Las cifras del robo varían según la fuente: PeckShield estima unos 285 millones de dólares, Arkham habla de más de 250 millones, y la evaluación preliminar de CertiK ronda los 136 millones. Sea cual sea el dato final, se perfila como el mayor incidente de seguridad en DeFi en lo que va de 2026. Más relevante que el tamaño del golpe es el método. El fundador de PeckShield, Jiang Xuxian, fue tajante ante Decrypt: "La clave de administrador detrás de Drift se vio claramente comprometida o vulnerada". Investigadores on-chain reconstruyeron un patrón de ataque que apunta a acceso privilegiado al protocolo y control de los flujos de la tesorería. Sin exploits sofisticados de contratos, sin flash loans, sin manipulación de oráculos: el fallo más básico, alguien perdió una clave privada. Un detalle agrava el diagnóstico: no fue un arrebato. Los datos muestran que la cartera recibió financiación inicial vía Near Intents ocho días antes y permaneció inactiva. Una semana antes del ataque, incluso recibió una microtransferencia de 2,52 dólares desde la tesorería de Drift, una prueba, un "toc-toc". Siete días después, la puerta se abrió a patadas. ### La caída del "Robinhood" cripto Para la cofundadora Cindy Leow, el 1 de abril tuvo un tinte especialmente cruel. La trayectoria de esta emprendedora malasio-china fue durante años una de las historias más celebradas de la DeFi en Solana. Empezó en 2016 con arbitraje de Bitcoin entre China y Corea, más tarde dirigió un fondo de trading propietario y contribuyó a proyectos de derivados en Ethereum. En 2021 cofundó Drift junto a David Lu, apostando por la velocidad de Solana para llevar los perpetuos on-chain. Drift supo subirse a casi todas las olas. En 2024 cerró dos rondas lideradas por Polychain y Multicoin por un total de 525 millones de dólares. Lanzó un mercado de predicción para competir con Polymarket, introdujo apalancamiento 50x, alcanzó un TVL superior a 5.500 millones de dólares y superó los 50.000 millones en volumen acumulado. En una entrevista con Fortune, Leow definió la ambición del proyecto: ser el "Robinhood del cripto". Hoy la comparación suena amarga. Robinhood prometía acercar herramientas de Wall Street al público. Drift prometía trading "noncustodial": tus fondos no pasan por manos ajenas, solo interactúan con código. Pero detrás del código existe una clave de administrador y su seguridad depende, en última instancia, de personas, no de criptografía. Hay otra coincidencia histórica incómoda. En 2022, durante la era Drift v1, la tesorería ya fue drenada en un ataque. El equipo publicó después un informe técnico muy detallado e incluso un fragmento de código de prueba de concepto que mostraba cómo se vaciaba la tesorería en una sola transacción. La pérdida fue de 14,5 millones de dólares y la empresa la reembolsó íntegramente con fondos propios. Cuatro años después, el mismo guion se repite a una escala veinte veces mayor. ### Fe descentralizada, vulnerabilidad centralizada Mirando más allá de Drift, aparece un patrón inquietante. A comienzos de 2025, el AWS Key Management Service de Resolv Labs se vio comprometido, lo que permitió a atacantes usar claves privilegiadas para autorizar una acuñación a gran escala de la stablecoin USR y desencadenar pérdidas en cascada. Ese mismo año, el robo total en cripto marcó un récord de 3.400 millones de dólares; el informe de Chainalysis subrayó un giro clave: los incidentes más devastadores ocurrieron a nivel de infraestructura. Equipos de desarrolladores comprometidos, claves únicas de minteo guardadas en la nube y procesos de firma manipulados mediante ingeniería social se convirtieron en los auténticos sumideros. Con Drift en la lista, la conclusión se impone: la seguridad de claves privadas ha desplazado a las vulnerabilidades de smart contracts como el mayor riesgo sistémico de DeFi. DeFi vende "descentralización", "no custodia" y "ausencia de confianza". El usuario deposita fondos creyendo que trata con matemáticas. En la práctica, casi cualquier protocolo en producción mantiene una o varias "llaves del reino": claves de admin, privilegios de actualización, control de tesorería, interruptores de pausa de emergencia. A veces se justifican por seguridad (para detener el sistema si algo falla) y a veces por flexibilidad (para actualizar lógica). El efecto es el mismo: un punto central de confianza envuelto en una narrativa descentralizada. El usuario cree que interactúa con código; en realidad confía en que una persona o un grupo reducido no cometa errores, no caiga en phishing, no sea coaccionado y no deje el portátil olvidado en un café. No es un problema exclusivo de Drift, sino una contradicción estructural en toda la industria. ### ¿A dónde fue el dinero? La operativa del atacante fue fría y metódica. Tras retirar activos del vault de Drift, convirtió la mayoría a stablecoins y los envió a Ethereum a través del puente Wormhole. En Ethereum destinó parte de esas stablecoins a comprar aproximadamente 19.913 ETH (valorados en torno a 42,6 millones de dólares) y repartió el resto entre múltiples direcciones. Un detalle surrealista: la cartera del atacante todavía mantiene una gran cantidad de Fartcoin, alrededor del 2,5% del suministro total del token. El autor del mayor robo DeFi del año guardando una pila de memecoins con nombre escatológico. A la hora de publicación, Drift mantiene suspendidos los depósitos y retiradas. El token DRIFT cayó desde aproximadamente 0,072 dólares antes del ataque hasta alrededor de 0,05 dólares, un descenso de más del 28%. Desde su máximo histórico de 2,60 dólares, la caída acumulada supera el 98%. Phantom Wallet ha mostrado advertencias a usuarios que intentan acceder a Drift. El equipo afirma estar coordinándose con firmas de seguridad, operadores de puentes y exchanges centralizados para intentar congelar y rastrear los fondos. La experiencia histórica no invita al optimismo cuando el dinero cruza puentes y se dispersa entre muchas carteras. ### La pregunta que el sector debe afrontar En su informe de cierre de 2025, Chainalysis apuntó con optimismo que la seguridad en DeFi había logrado "avances sustanciales", al caer las pérdidas por hacks incluso cuando el TVL se recuperó hasta 11.900 millones de dólares. Se citó el caso de Venus Protocol como ejemplo: su sistema de vigilancia detectó anomalías 18 horas antes, el protocolo pausó operaciones y la gobernanza congeló los fondos del atacante, hasta el punto de que el atacante perdió dinero. El caso Drift rompe esa narrativa de progreso. Se pueden realizar auditorías impecables y desplegar monitorización on-chain avanzada; si una sola clave de administrador cae por ingeniería social, phishing o fuerza bruta, el edificio defensivo se derrumba. DeFi necesita detenerse y responder con honestidad: cuando se promete "no custodia", ¿qué significa exactamente? Si la clave de admin puede transferir en cualquier momento todos los activos del vault, ¿en qué se diferencia de ingresar dinero en una cuenta bancaria controlada por un desconocido? Al menos los bancos cuentan con seguros, regulación y vías legales. La solución quizá no sea eliminar por completo estos privilegios, a menudo necesarios. Lo mínimo es dejar de fingir que no existen. Gobernanza multisig, time locks, módulos de seguridad hardware, rotación de claves: estas herramientas llevan años disponibles, y aun así demasiados protocolos siguen poniendo la seguridad de cientos de millones de dólares en manos de la cautela de una o dos personas. El sueño de un "Robinhood cripto" suena atractivo. Antes de alcanzarlo, conviene responder a una cuestión más básica: ¿quién tiene la llave?
Seleccionado
NEAR
NEAR-4.47%
USDC
USDC-0.04%
Descargo de responsabilidad: El contenido anterior es solo la opinión del autor y no representa la postura de BingX. No debe interpretarse como un consejo de inversión por parte de BingX. Para obtener más información, consulta los Términos y condiciones.