El mayor hackeo de DeFi de este año tuvo lugar la semana pasada, el 1 de abril, cuando Drift Protocol, uno de los mayores DEXs de futuros perpetuos en la red Solana, experimentó un exploit que vio desaparecer aproximadamente $286 millones del protocolo. El ataque estuvo vinculado a hackers relacionados con Corea del Norte y todo el hackeo ocurrió en solo 10 segundos. Lo asombroso de este hackeo, sin embargo, fue su naturaleza meticulosa. No se rompió ningún código y ningún smart contract tenía un error. Las investigaciones de empresas forenses cripto como Elliptic y TRM Labs en realidad apuntan a un hackeo mucho más calculado.
Los atacantes norcoreanos pasaron tres semanas fabricando un token falso llamado CarbonVote, sembrándolo con unos pocos miles de dólares para que pareciera real, mientras al mismo tiempo manipulaban socialmente a dos de los cinco firmantes multisig del Consejo de Seguridad de Drift para que pre-firmaran autorizaciones ocultas que no entendían completamente. Después de esto, utilizaron una función de Solana llamada "durable nonces" para mantener esas firmas en reserva durante más de una semana, esperando el momento adecuado. Todo lo que se necesitó fue una sola transacción el 1 de abril.
Como señaló Elliptic, este ataque fue el 18º hackeo cripto vinculado a Corea del Norte solo este año, extrayendo alrededor de $300 millones del espacio. Cuatro días después del hackeo, el Director de Tecnología (CTO) de Ledger declaró públicamente para destacar la naturaleza alarmante del hackeo y que la IA está llevando el costo de ataques como este "a cero". Esa declaración importa mucho porque el hackeo de Drift es un caso de estudio sobre cómo funcionan ahora estas operaciones. Los atacantes no necesitaron una vulnerabilidad de día cero ni un criptógrafo de primer nivel. Todo lo que necesitaban era paciencia, un token falso convincente y dos humanos a los que pudieran manipular. El hackeo en realidad expuso la vulnerabilidad estructural en DeFi tal como es hoy. DeFi está construyendo infraestructura de miles de millones de dólares asegurada por pequeños grupos de personas que pueden ser engañadas, mientras que los adversarios están mejorando cada vez más en hacer exactamente eso.
Cómo Corea del Norte robó $286 millones en 10 segundos
El hackeo del protocolo Drift fue un exploit sofisticado que abarcó tres semanas de preparación. Bloomberg informó por primera vez sobre la brecha el 1 de abril, cuando el protocolo Drift confirmó que aproximadamente $286 millones en activos de usuarios habían sido extraídos. Todo el esquema en realidad comenzó el 11 de marzo cuando el atacante extrajo 10 ETH de Tornado Cash alrededor de las 09:00, hora de Pyongyang, y lo usó para desplegar el token falso, CarbonVote (CVT), un activo completamente ficticio sembrado con unos pocos miles de dólares en liquidez y mantenido vivo a través de wash trading (volumen falso).
Durante las siguientes dos semanas, entre el 23 y el 30 de marzo, el atacante abrió cuentas de nonce duraderas, una función legítima en la red Solana que permite que las transacciones se firmen previamente y se mantengan indefinidamente sin expirar. Durante esta ventana, el atacante manipuló socialmente a dos de los cinco firmantes multisig del Consejo de Seguridad de Drift para que aprobaran transacciones que parecían normales pero, como TRM Labs confirmó más tarde, contenían autorizaciones ocultas para control administrativo crítico.
La pieza final cayó el 27 de marzo, cuando Drift migró su Consejo de Seguridad a una nueva configuración de umbral 2/5 con cero timelock según informó BlockSec, lo que básicamente eliminó el único retraso que habría permitido a cualquiera detectar lo que se avecinaba. Para cuando llegó el 1 de abril, la trampa había estado completamente cargada durante días.
El 1 de abril, el atacante usó esas aprobaciones prefirmadas para listar CarbonVote como colateral válido, infló su valor a cientos de millones a través de precios de oráculo manipulados y la gobernanza fue tomada. A partir de ahí, 31 transacciones de retiro vaciaron las bóvedas de Drift en cuestión de segundos. El fragmento más grande solo incluía más de $155 millones en tokens JLP junto con decenas de millones en USDC, SOL, ETH y otros liquid staking tokens siendo drenados y el Valor Total Bloqueado en el protocolo colapsó instantáneamente de alrededor de $550 millones a menos de $250 millones.
Esta velocidad del hackeo es solo una parte de esta historia. Un plan detallado que duró hasta tres semanas y que terminó en un hackeo de 10 segundos mostró con qué facilidad la gobernanza, no el código, puede convertirse en el eslabón más débil en DeFi.
La guerra cripto de $300 millones de Corea del Norte en 2026
Este hackeo, supuestamente perpetrado por atacantes vinculados a Corea del Norte, de ninguna manera es un evento aislado. De hecho, si observas algunos de los hackeos de mayor perfil en los últimos años, se hace evidente que esto es parte de una campaña mucho más grande impulsada por el estado. Solo este año, Elliptic ha informado que el exploit de Drift lo convierte en el 18º robo cripto atribuido a la RPDC, empujando la cantidad total de fondos extraídos más allá de $300 millones hasta ahora este año. Si miras más allá de este año, la escala de tales hackeos de un solo país se vuelve muy difícil de ignorar. El año pasado, actores vinculados a Corea del Norte robaron entre $1.92 mil millones según TRM Labs mientras que Chainalysis sitúa esta cifra en $2.02 mil millones en criptomonedas. Esto marcó un salto interanual del 51% en hackeos realizados por este grupo y empujó su robo total a $6.75 mil millones.
Corea del Norte representó un récord del 76% de todos los compromisos de servicios en 2025, lo que significa que un país es responsable de la abrumadora mayoría de los robos que tienen lugar en la industria. En ese contexto, el hackeo de Drift, que ahora es el segundo exploit más grande dentro del Ecosistema Solana después de la brecha de Wormhole de 2022, encaja en un patrón de ataques.
Lo que define ese patrón es la consistencia. El hackeo de Bybit en febrero de 2025, el mayor robo cripto de la historia, tenía configuraciones casi idénticas que incluían ingeniería social, acceso comprometido e intercambio coordinado de fondos. TRM Labs señala que los operadores de la RPDC dependen cada vez más de redes de "lavandería chinas" para que los fondos se transfieran entre diferentes cadenas en cuestión de horas.
El ataque de Drift en realidad muestra un sistema de equipos respaldados por el estado que ejecutan operaciones de varias semanas con reconocimiento, manipulación humana e infraestructura de lavado global ya implementada.
La IA está llevando los costos de ataque "a cero": advierte el Director de Tecnología (CTO) de Ledger
Cuatro días después del drenaje de Drift, el Director de Tecnología (CTO) de Ledger, Charles Guillemet, dijo a CoinDesk algo que reformuló todo el incidente. "Encontrar vulnerabilidades y explotarlas se vuelve realmente, realmente fácil", dijo. "El costo está bajando a cero". Guillemet no nombró a Drift, pero describió su mecánica exacta. La IA no solo ayuda a los atacantes a encontrar errores de código más rápido, hace que la ingeniería social sea más convincente, el phishing más personalizado, y el trabajo de preparación que los operadores norcoreanos pasaron tres semanas haciendo en Drift más barato y más escalable en un orden de magnitud. También señaló un problema agravante en el lado defensivo: a medida que más desarrolladores confían en código generado por IA, las vulnerabilidades podrían propagarse más rápido de lo que los revisores humanos pueden detectarlas. "No hay un botón de 'hacerlo seguro'", dijo. "Vamos a producir mucho código que será inseguro por diseño". Los hackeos y exploits causaron $1.4 mil millones en pérdidas cripto durante el año pasado, y la proyección de Guillemet es que la curva se vuelve más pronunciada, no más plana.
El hackeo de Drift es la prueba de concepto más clara de esa advertencia. Los atacantes nunca tocaron el código, apuntaron a los dos humanos que tenían las llaves. La IA no necesita romper un smart contract si puede generar un pretexto lo suficientemente convincente para engañar a un firmante multisig para que apruebe una transacción que no entiende completamente. Guillemet espera que la industria se divida: sistemas críticos como billeteras y protocolos centrales invertirán mucho en seguridad y se adaptarán, pero gran parte del ecosistema de software más amplio puede tener dificultades para mantener el ritmo. Sus correcciones recomendadas, verificación formal utilizando pruebas matemáticas, aislamiento de hardware para claves privadas, son estructuralmente sólidas pero requieren un nivel de disciplina institucional que la mayoría de los protocolos DeFi, incluido Drift, aún no han incorporado. "Cuando tienes un dispositivo dedicado no expuesto a internet, es más seguro por diseño", dijo. El Consejo de Seguridad de Drift no tenía tal protección. Dos firmas, cero timelock y un token falso fue todo lo que se necesitó.
Qué sucede después: Recuperación de Drift y respuesta de la industria
Lo que sucede después para Drift Protocol está lejos de estar claro y las señales tempranas ya están dividiendo a la industria. Inmediatamente después, Anatoly Yakovenko sugirió una posible vía de recuperación: emitir un airdrop de tokens de estilo IOU a los usuarios afectados, reflejando el manual de Bitfinex de 2016 después de su hackeo de $72 millones.
La idea es simple: socializar las pérdidas ahora, reembolsar a los usuarios con el tiempo si el protocolo se recupera. Pero el contexto es muy diferente. El TVL de Drift se ha reducido casi a la mitad, los depósitos y retiros permanecen suspendidos, y a diferencia de Bitfinex, carece de un motor de ingresos centralizado para respaldar esas responsabilidades. Eso ha llevado a un rechazo inmediato: los tokens IOU, en este caso, corren el riesgo de convertirse en instrumentos puramente especulativos sin un camino claro hacia el rescate.
Al mismo tiempo, la actividad on-chain está generando nuevas preocupaciones. Onchain Lens señaló que una billetera vinculada al equipo de Drift movió 56.25 millones de tokens DRIFT (≈$2.44 millones) a exchanges centralizados incluyendo Bybit y Gate poco después del exploit, un movimiento que típicamente precede a la presión de venta y ha alimentado especulaciones sobre posicionamiento interno durante una crisis de liquidez.
Mientras tanto, los fondos del atacante ya han sido transferidos entre cadenas, sobre todo a Ethereum, reduciendo la probabilidad de una recuperación significativa con cada día que pasa. La implicación más amplia es que este incidente no terminará con Drift. Es probable que acelere el escrutinio de toda la industria en torno a la gobernanza de DeFi en sí, desde estándares de seguridad multisig y requisitos de timelock hasta diseño de oráculo y controles de ejecución. Lo que viene después depende de tres variables: si Drift puede presentar un plan de recuperación creíble, si alguna porción de fondos puede ser rastreada o congelada, y si esto finalmente fuerza una reforma estructural, o se convierte en solo otra lección costosa que la industria supera.
Si estás leyendo esto, ya estás adelante. Mantente ahí con nuestro boletín.
Source: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
