La red DeFi Drift Protocol sufrió un golpe serio: según su propio reporte y el seguimiento de firmas forenses, un actor malicioso consiguió arrebatarse los poderes administrativos del llamado Security Council y, con ello, sustraer cientos de millones en activos. Drift estima pérdidas por alrededor de $280 millones, mientras que el rastreador on‑chain PeckShield cifra el saqueo en aproximadamente $285 millones. Puedes ver la actualización oficial de Drift en su comunicado público en X/Twitter aquí y el recuento de PeckShield aquí.
Lo que distingue a este incidente no es un fallo en los contratos inteligentes de Drift —la plataforma insiste en que sus programas no fueron explotados y que no se han filtrado seed phrases— sino una maniobra planificada y quirúrgica contra la gobernanza administrativa. El atacante aprovechó una funcionalidad propia de la blockchain de Solana conocida como durable nonces y combinó transacciones pre‑firmadas para orquestar un ataque retardado y preciso. La documentación técnica de Solana sobre esta característica explica cómo las nonces duraderas permiten crear transacciones válidas que pueden ejecutarse en un momento posterior; Drift alega que eso fue exactamente lo que usó el atacante para cronometrar el golpe —más detalles técnicos en la documentación oficial de Solana aquí.
Según la cronología que publicó Drift, la preparación ocurrió entre el 23 y el 30 de marzo, un período en el que el atacante creó cuentas con durable nonce y obtuvo aprobaciones parciales del multisig del Security Council: lograron reunir 2 de 5 firmas necesarias para alcanzar el umbral requerido y prefirmaron transacciones maliciosas sin ejecutarlas de inmediato. Ese conjunto de elementos —transacciones firmadas de antemano que permanecen válidas gracias a las nonces duraderas— permitió que, el 1 de abril, el atacante realizara primero una operación legítima y acto seguido desencadenara las instrucciones pre‑firmadas para transferir el control administrativo a sus direcciones en cuestión de minutos.
Con el control administrativo en su poder, el agresor introdujo un activo fraudulento dentro del protocolo, suprimió límites de retiro y procedió a vaciar fondos de depósitos de préstamos, bóvedas y cuentas de trading. Drift aseguró que ciertos componentes, como DSOL, no resultaron afectados y que los activos de su fondo de seguros permanecen protegidos, pero la mayoría de funciones del protocolo quedaron prácticamente paralizadas mientras se investiga el alcance total del daño. Ante la actividad anómala, la plataforma emitió advertencias públicas solicitando a los usuarios que no depositaran más fondos y activó una investigación coordinada con firmas de seguridad, exchanges y autoridades.
Más allá del número final —que todavía puede variar en función de recuperaciones o reclasificaciones— el episodio pone en evidencia un vector de riesgo que no siempre recibe la atención que merece: la seguridad de las llaves y de los procesos de firma en estructuras multisig y de gobernanza. Cuando la lógica del protocolo y los contratos están diseñados correctamente, quien controla las llaves administrativas puede imponer acciones sistémicas aunque la base de código sea robusta. Por eso, incluso en proyectos no custodiales como Drift —que recuerdan su modelo en su revisión anual, donde informaron de cientos de miles de traders y volúmenes significativos de operación consultables aquí— la protección de los flujos de firma y de los entornos en los que se aprueban transacciones es crítica.
No hay todavía una conclusión pública sobre cómo se obtuvieron las aprobaciones del multisig: pudo tratarse de dispositivos comprometidos, ingenierías de confianza dirigidas a los signatarios o fallos en los procesos operativos que permiten que aprobaciones parciales se combinen con transacciones pre‑firmadas. Sea cual sea el vector, la lección práctica para otros protocolos y para usuarios es clara: mantener firmas críticas en entornos aislados, emplear mecanismos de timelock que permitan reaccionar a operaciones inusuales y revisar los límites y permisos administrativos con regularidad. Todo esto debe complementarse con monitorización activa de la cadena y cooperaciones con analytics y exchanges para intentar congelar fondos lo antes posible, tal como Drift ha comunicado que está intentando hacer.
La comunidad DeFi y los usuarios afectados estarán pendientes del post‑mortem que Drift prometió publicar en los próximos días. Ese informe debería aclarar las medidas forenses que se han tomado, la naturaleza exacta de las transacciones pre‑firmadas y las recomendaciones para evitar que esquemas similares vuelvan a ser efectivos. Mientras tanto, cualquier persona con exposición al protocolo debe revisar comunicaciones oficiales y trasladar activos a entornos seguros si es necesario. Para seguir las actualizaciones oficiales de Drift y su advertencia inicial al público, se pueden consultar sus mensajes en X/Twitter aquí.
Este incidente recuerda que en el ecosistema cripto la seguridad no depende exclusivamente de la corrección del código: también lo hacen las personas, los procesos y las herramientas que gestionan las firmas. Mientras investigadores y autoridades intentan rastrear y, en la medida de lo posible, congelar fondos, la industria deberá reflexionar sobre cómo endurecer los modelos de gobierno y disminuir la superficie de ataque que representan transacciones pre‑preparadas y esquemas de firma vulnerables.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...