A raíz de un importante ataque DeFi, Drift Protocol ha comenzado un acercamiento directo sobre el exploit de drift mientras los investigadores rastrean fondos a través de múltiples blockchains.

Drift apunta a billeteras de hackers con mensajes en cadena

El 3 de abril, Drift Protocol escaló su respuesta al reciente hackeo enviando mensajes en cadena a cuatro billeteras de Ethereum que contienen la mayor parte de los activos robados. Según los datos de blockchain, estas direcciones juntas controlan aproximadamente 129,000 ETH, vinculados a lo que se ha convertido en uno de los mayores exploits DeFi de 2026.

La explotación drenó un estimado de $270 millones a $285 millones del protocolo, interrumpiendo severamente las condiciones de comercio y liquidez. Sin embargo, el equipo ahora afirma haber identificado a las partes clave vinculadas al incidente y está instando públicamente a abrir un diálogo en lugar de permanecer en silencio.

El contacto se realizó desde una dirección controlada por Drift conocida, que transmitió un mensaje estandarizado a cada una de las cuatro billeteras objetivo. Además, el movimiento señala que el protocolo está dispuesto a explorar resoluciones negociadas, un camino que otros proyectos cripto han tomado en robos a gran escala anteriores.

El mensaje solicita comunicación a través del chat de Blockscan

El contenido del mensaje fue conciso. Drift informó a los propietarios de billeteras que está “listo para hablar” y solicitó que respondieran usando el chat de Blockscan, una herramienta de comunicación fuera de la cadena vinculada a direcciones de Ethereum. Esto refleja casos anteriores donde proyectos atacados buscaron abrir un canal de comunicación con los hackers.

Históricamente, tales esfuerzos han producido resultados mixtos. En algunos hacks de alto perfil, el diálogo condujo a la recuperación parcial o incluso total de activos, a veces bajo la etiqueta de un arreglo de “sombrero blanco”. Dicho esto, en otras situaciones, los atacantes ignoraron los mensajes y continuaron moviendo fondos, dejando a las víctimas con pocas esperanzas de restitución.

En este caso, los equipos de seguridad y los proveedores de análisis en cadena también están examinando si el robo y las transferencias subsiguientes muestran patrones asociados con el cibercrimen organizado. Sin embargo, cualquier posible atribución sigue sin confirmarse, y el enfoque por ahora está en rastrear flujos y preservar evidencia.

Cómo el ataque eludió contratos inteligentes

La explotación de Drift se destaca porque no se basó en un error tradicional de contrato inteligente. En cambio, explotó una debilidad a nivel de sistema en torno a las nonces duraderas de Solana, una característica legítima que permite a los desarrolladores preparar y firmar transacciones con anticipación para su posterior presentación.

El atacante utilizó transacciones pre-firmadas que se habían creado semanas antes, y luego logró obtener control parcial sobre la configuración de gobernanza multisig del protocolo. Con esa influencia, deshabilitó o eludió varios controles de riesgo diseñados para proteger los fondos de los usuarios. En consecuencia, una vez que se debilitaron las salvaguardas, el hacker pudo drenar capital de múltiples bóvedas en rápida sucesión.

Toda la operación se desarrolló rápidamente, resultando en la pérdida de más de la mitad del valor total bloqueado del Protocolo Drift. Además, el evento subraya cómo el diseño de gobernanza y la gestión de claves pueden ser tan críticos como el código de contrato en la protección de plataformas DeFi.

Transferencias cruzadas y concentración de ETH robado

Después de vaciar las bóvedas, el atacante no dejó los activos en Solana. En su lugar, utilizaron infraestructura cruzada para mover los fondos a Ethereum, convirtiendo una gran parte en ETH. Los datos en cadena, destacados por firmas de análisis como Arkham, muestran aproximadamente 129,000 ETH ahora distribuidos en cuatro billeteras clave.

Este patrón se ajusta a una tendencia más amplia donde los atacantes utilizan fondos puenteados cruzados para complicar el seguimiento y la recuperación. Sin embargo, tales movimientos también crean concentraciones de valor altamente visibles que pueden ser monitoreadas en tiempo real por intercambios, fuerzas del orden y investigadores independientes.

A pesar de la monitorización activa, ha habido críticas de algunos miembros de la comunidad sobre lo que consideran una lenta respuesta operativa. Específicamente, los usuarios han cuestionado por qué ciertos tokens o posiciones no fueron congelados antes o cubiertos más agresivamente una vez que se detectó actividad de gobernanza anómala.

Sospechas de crimen organizado e investigación en curso

Varios observadores de la industria han especulado sobre posibles vínculos entre el atacante y organizaciones de cibercrimen conocidas, especialmente dada la sofisticación de la toma de control de gobernanza y la planificación de transacciones. Dicho esto, las declaraciones públicas de Drift y de equipos de seguridad externos enfatizan que aún no hay una atribución definitiva.

Las fuerzas del orden y los grupos de respuesta a incidentes privados están supuestamente coordinando para seguir la pista de mensajes en la cadena de bloques y los flujos de ETH robado. Además, los investigadores están examinando la actividad histórica en las billeteras afectadas para ver si transacciones más antiguas se conectan a entidades previamente señaladas.

Por ahora, Drift se ha comprometido a liberar más información una vez que se completen las auditorías de terceros y las revisiones forenses. Los canales sociales del protocolo, incluido su cuenta oficial de X, se han utilizado para agregar actualizaciones y referenciar transacciones clave en cadena para la comunidad.

Impacto en Drift, token DRIFT y liquidez DeFi

La repercusión se extiende más allá de las pérdidas inmediatas del protocolo. Datos recientes indican que casi 20 proyectos DeFi interconectados sufrieron efectos colaterales del incidente. Algunos protocolos pausaron temporalmente servicios o restringieron ciertas operaciones para prevenir una posible contagión y gestionar el impacto de la liquidez de DeFi.

El token nativo DRIFT reaccionó bruscamente, registrando una fuerte caída a medida que se difundían las noticias sobre la explotación y el compromiso de la gobernanza. La confianza del mercado en productos de apalancamiento y derivados en Solana también sufrió un golpe, reflejando reevaluaciones de riesgo más amplias por parte de traders profesionales y minoristas por igual.

Sin embargo, es importante señalar que la capa base de Solana sigue funcionando normalmente. La brecha ocurrió a nivel de aplicación y gobernanza, no debido a un fallo de consenso o del protocolo. Esta distinción es importante para la percepción del ecosistema a largo plazo y para los inversores que evalúan el riesgo de contratos inteligentes.

Lecciones para el diseño de gobernanza y seguridad

El ataque destaca cómo incluso el código bien revisado puede ser socavado por debilidades en estructuras de gobernanza, compartición de claves y procesos operativos. En este caso, el compromiso parcial de gobernanza multisig permitió al atacante utilizar transacciones previamente firmadas y características legítimas del protocolo.

Los expertos en seguridad argumentan que políticas de rotación de claves más robustas, controles de acceso más estrictos y monitoreo en tiempo real de las acciones de gobernanza podrían haber limitado el daño. Además, manuales de incidentes más claros y cortacircuitos automáticos podrían ayudar a los protocolos a reaccionar más rápido cuando ocurren cambios anormales en permisos o comportamiento de bóvedas.

A medida que continúa la investigación sobre la explotación del Protocolo Drift, es probable que el caso se convierta en un punto de referencia para marcos de riesgo y revisiones de seguridad en DeFi. En resumen, el incidente subraya que las auditorías de código por sí solas no son suficientes; la gobernanza resiliente, la gestión de claves y la monitorización cruzada son esenciales para prevenir pérdidas similares a gran escala.