El 1 de abril de 2026, Drift Protocol, el mayor exchange de contratos perpetuos descentralizado del ecosistema Solana, sufrió un golpe épico. En apenas diez minutos, activos cifrados por valor de 285 millones de dólares fueron saqueados, convirtiéndose en el mayor incidente de seguridad en el ámbito DeFi del año.
A medida que se analizaron los datos on-chain y los organismos de seguridad profundizaron su investigación, fue emergiendo el panorama completo de este presunto ataque APT liderado por un grupo de hackers norcoreanos. Lo lamentable es que lo que destruyó esta fortaleza DeFi de cientos de millones de dólares no fue una vulnerabilidad de día cero (0-day) ingeniosa, sino una cacería de ingeniería social que duró meses y apuntó directamente a la naturaleza humana.
Este desastre no solo fue el momento más oscuro para Drift, sino que también dejó al descubierto la "improvisación" en la gobernanza y la gestión de claves de la industria DeFi.
Una cacería largamente planeada: ¿Cómo cayó Drift paso a paso?
Al reconstruir la ruta de ataque del hacker, encontramos una operación extremadamente meticulosa y coordinada en múltiples frentes, ejecutada con gran paciencia. El atacante aprovechó a la perfección la confianza ciega de la comunidad Web3 en que "el código es ley", y la negligencia hacia el "factor humano" como el eslabón más débil.
Paso 1: Infiltración bajo la apariencia de un "market maker"
Medio año antes del incidente, los atacantes se hicieron pasar por una institución de trading cuantitativo con fondos sustanciales. No solo brindaron con el equipo central de Drift en varias cumbres de criptografía, sino que también depositaron millones de dólares reales en el protocolo. Al participar en pruebas de productos y hacer sugerencias estratégicas de alta calidad, los hackers lograron infiltrarse en los grupos de comunicación internos de Drift, construyendo una confianza fatal.
Paso 2: Usar los "Nonces Duraderos" para plantar una bomba de tiempo
Tras ganarse la confianza de los contribuidores clave, los hackers comenzaron a utilizar el mecanismo específico de Solana de "Nonces Duraderos (Durable Nonces)". Este mecanismo permite que las transacciones sean firmadas offline de antemano y se transmitan para su ejecución en cualquier momento futuro. Mediante un discurso ingenioso y necesidades de prueba falsas, los hackers indujeron a miembros del comité de seguridad de Drift a realizar "firmas ciegas (Blind Signing)" de varias transacciones que parecían ordinarias. Sin embargo, el contenido real (Payload) de estas transacciones era la transferencia del control administrativo (Admin) supremo del protocolo.
Paso 3: La fatal multifirma 2/5 y la ausencia de Timelock
El 27 de marzo, Drift realizó una actualización de gobernanza fatal: migró el comité de seguridad a una nueva arquitectura de multifirma 2/5 y eliminó el tiempo de espera (Timelock). Esto significaba que, con solo reunir dos firmas, cualquier instrucción para modificar la lógica subyacente del protocolo se ejecutaría instantáneamente, sin ni siquiera dar tiempo de desconectar la red.
Paso 4: El espejismo del retiro de "monedas falsas"
El 1 de abril, los hackers detonaron simultáneamente todo lo desplegado. Transmitieron las instrucciones de multifirma obtenidas fraudulentamente y tomaron el control instantáneo de los permisos de Admin del protocolo. Acto seguido, los hackers añadieron a la lista blanca un token falso llamado CVT (CarbonVote Token) y elevaron al máximo su límite de préstamo. Con la manipulación del precio del oráculo, los hackers utilizaron un montón de monedas sin valor (airdrop) como colateral y "pidieron prestado" de forma legal y conforme 285 millones de dólares en USDC, SOL y ETH de la tesorería de Drift.
Firma legal ≠ Intención legal: El talón de Aquiles de la seguridad DeFi
En el caso de Drift, lo más desalentador es que, a los ojos de la máquina virtual blockchain, cada paso del hacker fue "legal". No explotaron una vulnerabilidad de desbordamiento, ni realizaron un ataque de reentrada. Simplemente obtuvieron las llaves administrativas legítimas y entraron en la tesorería a plena luz del día.
Esto expone la enorme desconexión en la gestión de fondos de los protocolos DeFi actuales: usar herramientas a nivel de minorista para gestionar unos pocos cientos de dólares, para administrar una tesorería institucional de cientos de millones de dólares.
Actualmente, la mayoría de los protocolos DeFi principales aún dependen en gran medida de las multifirmas tradicionales basadas en contratos inteligentes (como Safe o mecanismos de multifirma nativos). Esta arquitectura tiene dos defectos fatales:
- No protege contra la ingeniería social: Basta con que los hackers comprometan (phishing, coerción o soborno) a unas pocas personas clave que posean las claves privadas para que las defensas colapsen.
- Falta de verificación de intención: La multifirma solo verifica "si son esas personas las que firmaron", pero no se pregunta "si lo que firmaron fue un contrato de esclavitud".
De experimento geek a infraestructura financiera: La evolución inevitable de la seguridad Web3
Los 285 millones de dólares de Drift compraron una lección extremadamente costosa: a medida que Web3 se fusiona aceleradamente con las finanzas tradicionales, los protocolos DeFi deben abandonar los modelos de gobernanza que dependen únicamente de la autodisciplina de los desarrolladores y multifirmas simplistas, y adoptar estándares de seguridad a nivel institucional.
En la actualidad, los principales organismos del sector y los observadores de seguridad han llegado a un consenso: la próxima iteración de seguridad de la infraestructura DeFi debe incluir actualizaciones en las siguientes dimensiones centrales:
Actualización de la base criptográfica: Hacia el HSM (Módulo de Seguridad de Hardware)
En comparación con la agregación de software de las multifirmas, el HSM almacena las claves privadas del protocolo en chips cifrados de grado militar y certificados, de los cuales las claves privadas no pueden ser extraídas. Este aislamiento físico a nivel de hardware y el control de seguridad evitan fundamentalmente los riesgos derivados de ataques de ingeniería social a personal interno o de la intrusión en dispositivos, proporcionando una seguridad de claves para la tesorería del protocolo muy superior a la de las multifirmas tradicionales.
Introducción de un motor de políticas "basado en la intención" (Policy Engine)
La aprobación de permisos de administración DeFi en el futuro no puede quedarse solo en la fase de "verificación de firma". El sistema necesita incorporar una lógica de control de riesgos, por ejemplo: cuando una transacción intente modificar el límite de préstamo de un token desconocido (como el CVT en el caso de Drift) a infinito, el motor de políticas debería poder identificar automáticamente su intención anómala, activar mecanismos de fusible (circuit breakers) y requerir forzosamente una verificación de mayor nivel (como controles de riesgo humanos multinivel, verificación por video o tiempo de espera forzoso - timelock).
Adopción de fuerzas de custodia independientes y合规 (conformes)
A medida que el TVL (Valor Total Bloqueado) sigue creciendo, los desarrolladores de protocolos deberían centrar sus esfuerzos en la lógica del código y la innovación empresarial, y ceder el control de la tesorería de cientos de millones de dólares y la defensa de seguridad a instituciones de custodia第三方 (terceras) profesionales y合规 (conformes). Al igual que en las finanzas tradicionales, los exchanges no guardan los activos de los usuarios en la caja fuerte personal del director. Introducir procesos de control de riesgos a nivel institucional, con sólidas capacidades ofensivas y defensivas y auditados, es el camino inevitable para que DeFi se popularice.
Como defienden proveedores de servicios institucionales que llevan tiempo profundizando en la seguridad de activos digitales, como Cactus Custody: la descentralización de DeFi no debería ser una excusa para evadir los controles de riesgo sistémicos.
El incidente de hackers de Drift quizás sea un punto de inflexión. Anuncia la quiebra de la gobernanza "improvisada" y presagia la llegada de un nuevo paradigma de seguridad centrado en la arquitectura de hardware, la verificación de intenciones y la custodia profesional. Solo fortaleciendo esta línea de defensa, Web3 podrá realmente sostener un futuro de billones de dólares.
