DCA|Vault|Recursos
DescentralizaDescentraliza
Hackeo a Drift Protocol: $285 millones robados en el mayor exploit DeFi de 2026
Todas las noticias

Hackeo a Drift Protocol: $285 millones robados en el mayor exploit DeFi de 2026

Descentraliza
Compartir:XLinkedInWhatsAppTelegram

Un atacante sofisticado convirtió $500 en $285 millones drenando los fondos del exchange descentralizado más grande de Solana mediante la manipulación de oráculos, un token ficticio y una clave de administrador comprometida.

Lo que parecía un día de bromas —el 1 de abril, Día de los Inocentes en el mundo anglosajón— se convirtió en una pesadilla para el ecosistema DeFi de Solana. Drift Protocol, el exchange descentralizado de derivados perpetuos más importante de esta blockchain, confirmó un ataque activo que resultó en el robo de aproximadamente $285 millones en activos digitales, según estimaciones de las firmas de seguridad PeckShield y Arkham Intelligence [Prashant Jha, "Drift Protocol Hit by $285M Exploit: Crypto's Biggest Hack of 2026 Unfolds on April Fool's Day", CCN.com, 2 de abril de 2026].

El propio equipo de Drift se vio obligado a aclarar públicamente en X (antes Twitter): "Esto NO es una broma del Día de los Inocentes. Estamos coordinando con múltiples firmas de seguridad, puentes y exchanges para contener el incidente."

Un ataque planificado durante semanas

La sofisticación del exploit sorprendió incluso a los veteranos de la industria. Según los análisis on-chain, el atacante preparó la operación durante al menos tres semanas. Primero, creó un token ficticio llamado CarbonVote Token (CVT), del cual acuñó 750 millones de unidades. Después, estableció un pool de liquidez en Raydium con apenas $500 y manipuló el historial de precios mediante operaciones de wash trading hasta que los oráculos de la red lo registraron como un activo legítimo con un precio cercano a $1 [Sage D. Young, "Drift, solana-based trading venue, suffers ongoing exploit", Sherwood News, 1 de abril de 2026].

El día del ataque, el hacker utilizó una clave admin comprometida para listar CVT como mercado válido de colateral en Drift, elevó los límites de retiro a niveles extremos —desactivando los mecanismos de seguridad— y depositó cientos de millones de tokens CVT como garantía. En cuestión de minutos, drenó más de $285 millones en USDC, SOL, JLP, WBTC y otros activos de las bóvedas del protocolo.

El TVL se desplomó y DRIFT cayó más de un 40%

Antes del ataque, Drift Protocol contaba con un valor total bloqueado (TVL) de unos $550 millones. En menos de una hora, este se redujo a apenas $24 millones. El token nativo DRIFT se desplomó más de un 40%, pasando de aproximadamente $0,072 a $0,04. El impacto se extendió rápidamente por el ecosistema de Solana, con al menos una docena de protocolos conectados a Drift pausando operaciones o evaluando pérdidas.

Críticas a Circle por su lentitud de respuesta

Tras el robo, el atacante convirtió los activos en USDC a través del agregador Jupiter y los transfirió a Ethereum mediante el puente Wormhole y el protocolo CCTP de Circle. El investigador on-chain ZachXBT criticó duramente a Circle por no congelar los fondos a tiempo, a pesar de contar con capacidad centralizada para hacerlo. Hayden Adams, fundador de Uniswap, fue contundente al afirmar que los proyectos con claves admin centralizadas deben dejar de llamarse DeFi [Wu Blockchain, "Drift Loses $285 Million: Did Hackers Deal a Fatal Blow to Bear-Market DeFi?", 2 de abril de 2026].

Omer Goldberg, fundador de Chaos Labs, añadió que las claves de firma de Drift tenían control total sobre la creación de mercados, la asignación de oráculos y los límites de retiro, sin ningún mecanismo de bloqueo temporal (timelock). Según él, el atacante necesitó apenas 10 segundos para ejecutar el robo.

Una lección dolorosa para la industria

Este incidente se posiciona entre los cinco mayores hackeos DeFi de la historia y es, sin duda, el más grande de 2026. La lección principal que deja es clara: en las finanzas descentralizadas, auditar el código de los contratos inteligentes no basta; es imprescindible auditar también las superficies de ataque de las claves de administración, los procesos de gobernanza y los mecanismos de respuesta ante emergencias.

Mientras tanto, los depósitos y retiros de Drift permanecen suspendidos y no hay noticias de recuperación de fondos hasta el momento de esta publicación.