Seis meses de preparación para doce minutos de ejecución. El 1 de abril de 2026, el grupo norcoreano UNC4736 drenó 285 millones de dólares de Drift Protocol en Solana. No fue un bug de código: fue una operación de inteligencia que combinó ingeniería social contra contribuidores individuales, manipulación de oráculos, abuso de los durable nonces de Solana y una migración de gobernanza a la que le quitaron el timelock para ir más rápido. Y funcionó.
Este artículo reconstruye la operación en sus tres capas — humana, técnica y de gobernanza —, la sitúa junto a los grandes hacks recientes (Bybit, Wormhole, Ronin) y extrae lecciones concretas para cualquiera que tenga fondos en un protocolo DeFi. No es un postmortem técnico más: es el caso de estudio de cómo un actor estatal sancionado puede convertir una pequeña cadena humana de confianza en 285 millones evaporados en un tiempo de café.
Contexto editorial: este artículo es informativo y no constituye asesoramiento de inversión ni una recomendación sobre el uso de Drift u otros protocolos. Su objetivo es documentar el incidente y las prácticas operativas que lo hicieron posible. Los nombres de grupos, herramientas y protocolos se usan exclusivamente con fines de análisis de seguridad pública.
¿Qué pasó con Drift Protocol los días 1 y 2 de abril de 2026?
Drift es uno de los mayores protocolos de derivados perpetuos de la red Solana. El 1 de abril de 2026 a las 16:05 UTC, un actor desconocido activó una cadena de transacciones pre-firmadas que transfirieron la autoridad administrativa del protocolo a una dirección bajo su control. Diez segundos después, había drenado las bóvedas principales. En total, cayeron unos 285 millones de dólares en activos reales — USDC, JLP, cbBTC, USDT y varios otros —, más del 50% del valor total bloqueado (TVL) del protocolo en ese momento.
| Activo drenado | Valor (USD) | % del total |
|---|---|---|
| JLP (Jupiter LP Token) | 159.300.000 | 55,9% |
| USDC (Circle) | 71.400.000 | 25,1% |
| cbBTC (Coinbase Wrapped BTC) | 11.300.000 | 4,0% |
| USDT (Tether) | 5.600.000 | 2,0% |
| USDS (Sky / MakerDAO) | 5.300.000 | 1,9% |
| Otros (WETH, dSOL, WBTC, etc.) | 32.100.000 | 11,1% |
| Total | 285.000.000 | 100% |
El robo convierte a Drift en el mayor exploit DeFi de 2026 hasta la fecha y en el segundo incidente más importante en la historia de Solana, solo por debajo del puente Wormhole en 2022. Pero lo relevante no es el titular: es que los atacantes no explotaron un error en el código de Drift. Lo que explotaron fueron las personas y los procesos que rodean ese código.
¿Quién es UNC4736 y por qué atacó Drift?
El grupo al que se atribuye el ataque es rastreado bajo varias etiquetas en la industria: UNC4736, AppleJeus, Citrine Sleet o Golden Chollima. Es una unidad especializada de la inteligencia norcoreana que opera en el sector cripto desde al menos 2018, y cuya misión principal no es el enriquecimiento personal sino la generación de divisas para financiar los programas militares del régimen de Pyongyang — incluyendo submarinos nucleares y satélites de reconocimiento.
Firmas como CrowdStrike, Chainalysis y TRM Labs han atribuido el ataque a UNC4736 con confianza media-alta basándose en el modus operandi, la arquitectura financiera del lavado y los patrones de reutilización de infraestructura. En 2025, los actores vinculados a la RPDC fueron responsables del 76% de todos los compromisos a servicios cripto a nivel mundial. No es un grupo de aficionados: es una fuerza industrial.
| Característica | UNC4736 / Golden Chollima |
|---|---|
| Afiliación | Estado-nación (RPDC) |
| Precedentes relevantes | 3CX (2023), Radiant Capital 53 M$ (2024), Bybit 1.500 M$ (febrero 2025) |
| Táctica distintiva | Ingeniería social de larga duración + malware de nicho |
| Objetivo financiero | Financiación de submarinos, satélites y armamento estratégico |
| Horizonte temporal de operación | Seis meses o más antes de la ejecución |
Como ya analizamos al estudiar los hacks de puentes DeFi, la sofisticación de Lazarus Group y sus subunidades ha evolucionado desde el envío masivo de phishing hacia la construcción de identidades casi perfectas y la infiltración multicapa. Drift demuestra que esa amenaza ya no se limita a los puentes: alcanza los protocolos nativos de una L1.
¿Cómo construyeron los atacantes su punto de entrada en seis meses?
La operación comenzó oficialmente en otoño de 2025. Los atacantes se presentaron como una firma legítima de trading cuantitativo, con perfiles de LinkedIn que resistían el escrutinio básico, antecedentes laborales verificables y asistencia física a conferencias internacionales para establecer vínculos con contribuidores principales de Drift. La clave fue sustituir la fricción del phishing por la calidez del contacto humano prolongado.
Para formalizar la relación, propusieron integrar una "Ecosystem Vault" en Drift. Entre diciembre de 2025 y enero de 2026, los agentes interactuaron de manera constante con el equipo, demostrando conocimiento técnico detallado de la plataforma. Y dieron el paso decisivo: depositaron más de un millón de dólares propios en el protocolo. No era una pérdida. Era el precio operativo de entrar en los canales de confianza internos.
En paralelo, ejecutaron compromisos técnicos laterales contra las estaciones de trabajo de contribuidores clave. Dos vectores se han identificado con claridad:
- Proyectos de VS Code armados: un contribuidor clonó un repositorio compartido "para colaborar en el frontend de la bóveda". El proyecto usaba una configuración maliciosa del archivo
tasks.jsonpara ejecutar comandos automáticamente al abrir la carpeta en el editor. - Apps distribuidas por TestFlight: un segundo contribuidor fue inducido a descargar una supuesta billetera en beta a través del programa de pruebas de Apple. La app contenía un backdoor que extraía cookies de sesión y credenciales.
El patrón es el mismo que hemos visto en otros exploits dirigidos a desarrolladores DeFi en 2026: el entorno de desarrollo es el vector, no el protocolo en producción. Si compartes una carpeta con alguien, esa carpeta ya es ataque potencial.
¿Cómo se manipuló el oráculo para fabricar valor falso?
A partir de marzo de 2026, la operación se trasladó a la cadena de bloques. El 12 de marzo los atacantes desplegaron en Solana un token llamado CarbonVote (CVT), financiado con fondos previamente extraídos por Tornado Cash. El token era puramente ficticio: ellos controlaban aproximadamente el 80% del suministro total de 750 millones de unidades.
Para darle apariencia de activo con valor real, ejecutaron una campaña de manipulación de liquidez en Raydium. Con solo unos miles de dólares de liquidez auténtica, bots de wash trading generaron un historial de precios estable alrededor de 1 USD. La pieza final fue insertar ese precio manipulado en la lógica de riesgo de Drift mediante un oráculo de SwitchboardOnDemand que ellos mismos controlaban.
| Parámetro del token ficticio CVT | Valor |
|---|---|
| Fecha de creación | 12 de marzo de 2026 |
| Suministro total | 750.000.000 CVT |
| Suministro controlado por el atacante | ~80% (600.000.000 CVT) |
| Precio manipulado | ~1,00 USD |
| Liquidez real inicial | 500 a 3.000 USD |
| Oráculo de precio | SwitchboardOnDemand (bajo control del atacante) |
Los sistemas automatizados de riesgo de Drift ingirieron esa señal como datos legítimos. A ojos del protocolo, el CVT era un activo de mil millones de dólares en circulación con volumen estable. A ojos de cualquiera que mirase la pool en Raydium, era un token con tres mil dólares de liquidez.
¿Qué son los durable nonces de Solana y cómo se convirtieron en arma?
Una transacción estándar en Solana requiere un blockhash reciente, que expira en aproximadamente 90 segundos. Esto impide que una transacción firmada hoy se ejecute dentro de una hora. Los durable nonces son una excepción: usan una cuenta especial con un valor de nonce persistente que permite firmar transacciones que no caducan. La función existe para escenarios legítimos como firma fuera de línea y custodia institucional donde la ejecución retardada es parte del diseño.
Entre el 23 y el 30 de marzo, los atacantes aprovecharon las relaciones construidas durante meses para inducir a miembros del Security Council de Drift a firmar una serie de transacciones vinculadas a durable nonces. Se presentaron como mantenimiento rutinario o pasos técnicos de una migración planificada de gobernanza. Los firmantes veían instrucciones plausibles; lo que no veían era que las transacciones contenían, ocultas, la transferencia de la autoridad administrativa del protocolo a la dirección del atacante.
Porque los durable nonces no expiran, los atacantes pudieron acumular firmas asíncronamente y dejarlas "en reserva" sin que nada raro apareciera en la cadena. El Caballo de Troya estaba dentro, esperando el pulsador.
¿Por qué la migración de gobernanza del 27 de marzo fue el error fatal?
El 27 de marzo, Drift ejecutó una migración programada de su Security Council a una nueva configuración multisig 2-de-5. Para que el proceso fuera más ágil, el equipo eliminó temporalmente el timelock — el periodo de espera obligatorio entre la propuesta de una acción administrativa y su ejecución.
Un timelock de 24-48 horas habría sido suficiente para que, al detonarse la transacción maliciosa, otro miembro del consejo o incluso la comunidad hubieran detectado la anomalía y ejecutado una revocación. Sin timelock, la ejecución es instantánea y definitiva. Para el 30 de marzo, los atacantes ya habían asegurado firmas válidas tanto del multisig antiguo como del nuevo. Tenían control total latente antes de que terminara el mes.
Este patrón — un Security Council pequeño combinado con una ventana sin timelock — es el mismo vector que convirtió la brecha de Ronin (2022) en una pérdida de 625 M$. Como repasamos en la lista histórica de grandes hacks, los fallos en la capa de gobernanza son hoy la primera causa de pérdidas sistémicas, por delante de los bugs de código.
¿Cómo se ejecutó el drenaje en doce minutos?
El 1 de abril a las 16:05 UTC, los atacantes detonaron las transacciones pre-firmadas. Como contaban con firmas válidas y no había timelock, Solana procesó el cambio de administración instantáneamente. A partir de ahí, la secuencia fue automatizada:
- Whitelisting de CVT: el token ficticio se añadió como colateral aceptado en todo el protocolo.
- Eliminación de límites: se quitaron los límites de retiro y se ajustaron los parámetros de riesgo para permitir apalancamiento máximo.
- Depósito + préstamo: los atacantes depositaron 500 millones de CVT valorados artificialmente en 500 M$, y retiraron 285 M$ en activos reales contra ese colateral ficticio.
Según el análisis de PIF Research Labs, los retiros principales se ejecutaron en un intervalo de diez segundos entre la primera y la última transacción de salida. Para cuando los monitores internos de Drift detectaron la anomalía e intentaron pausar el protocolo, los fondos ya habían comenzado a cruzar los puentes hacia Ethereum.
¿Por qué no bloqueó Circle el USDC robado?
De los 285 M$ drenados, 71,4 M$ eran USDC emitido por Circle. Circle es un emisor centralizado: técnicamente puede congelar cualquier wallet desde su panel de cumplimiento. Solo nueve días antes del hackeo de Drift había congelado 16 wallets comerciales en un litigio civil, demostrando que la infraestructura funcionaba.
En el caso de Drift, los atacantes usaron CCTP (el protocolo oficial cross-chain de Circle) para mover millones en USDC desde Solana a Ethereum durante casi seis horas, incluyendo el horario laboral en Estados Unidos. El investigador ZachXBT acusó públicamente a la empresa de estar "dormida". La firma de abogados Gibbs Mura ha iniciado una investigación preliminar para una posible demanda colectiva por negligencia.
El resto del lavado siguió el patrón clásico de la RPDC: tramos pequeños, típicamente por debajo de 500.000 USD, para minimizar alertas en exchanges y canales OTC en Asia. Esta técnica de micro-tranching complica el rastreo automatizado y permite que los fondos se filtren lentamente a redes informales en el sudeste asiático. Los detalles de rutas de lavado y del rol de las stablecoins privadas como vía de salida los hemos tratado en nuestro análisis de exploits asistidos por IA, y el patrón se repite.
¿Cómo se compara el hackeo de Drift con Bybit, Wormhole y Ronin?
Para entender dónde encaja Drift en la historia de los grandes robos cripto, conviene ponerlo junto a los tres incidentes de referencia de la última década. La comparación revela algo inquietante: el valor absoluto baja, pero la sofisticación operativa sube.
| Incidente | Fecha | Pérdidas (USD) | Red | Vector principal | Atribución |
|---|---|---|---|---|---|
| Wormhole | Feb 2022 | 326 M | Solana ↔ Ethereum | Bug de verificación de firmas en el puente | No atribuido públicamente |
| Ronin (Axie) | Mar 2022 | 625 M | Ronin Bridge | 5 de 9 validadores comprometidos vía ingeniería social | Lazarus / RPDC |
| Bybit | Feb 2025 | 1.500 M | Ethereum (custodia CEX) | Compromiso de wallets calientes + UI maliciosa | Lazarus / RPDC (~1.100 M aún sin recuperar) |
| Drift Protocol | Abr 2026 | 285 M | Solana | Ingeniería social + durable nonces + migración sin timelock | UNC4736 / RPDC |
Tres observaciones de esta tabla. La primera: los fallos de código puro (Wormhole) son cada vez más raros — la comunidad ha madurado en auditorías, fuzzing y bug bounties. La segunda: los vectores dominantes son humanos — ingeniería social, compromiso de estaciones de trabajo, manipulación de firmantes. La tercera: la RPDC aparece en todos los grandes hacks recientes con una disciplina que ningún actor privado iguala. Bybit perdió 1.500 M$ en febrero de 2025; apenas 400 M$ han sido rastreados y solo una fracción recuperada. La probabilidad de recuperar los 285 M$ de Drift es, conservadoramente, baja.
¿Qué significa esto para tu seguridad como usuario DeFi?
El mensaje operativo para cualquier persona con fondos en un protocolo DeFi se resume en tres prácticas. Ninguna es técnica; todas son de diligencia.
Audita el Security Council del protocolo antes de depositar
Si el protocolo donde tienes fondos depende de un multisig pequeño (3-de-5 o menos) con timelocks cortos o desactivables, estás aceptando un riesgo de gobernanza equivalente al riesgo contraparte en un banco — pero sin seguro de depósitos. Cuantos más firmantes, más distribuidos geográficamente y más largos los timelocks mínimos, mejor. Un timelock que se puede desactivar "para agilizar una migración" es una cláusula que, cuando se activa, se come el 50% del TVL.
Si contribuyes a un protocolo, asume que los canales de confianza son hostiles
Los errores en Drift no los cometieron usuarios descuidados: los cometieron contribuidores profesionales que operaban con colaboradores aparentemente legítimos. Las contramedidas mínimas son: no abrir carpetas de VS Code sin revisar tasks.json y otras configuraciones, no aceptar builds de TestFlight de terceros, separar entornos de desarrollo de los entornos donde guardas claves, y tratar cualquier depósito inicial de un "socio potencial" como inversión operativa en lugar de prueba de buena fe.
Diversifica entre protocolos con historial y múltiples auditorías
Ningún Security Council pequeño es inviolable. La diversificación entre protocolos con diferentes equipos, diferentes auditorías y diferentes arquitecturas de gobernanza es una cobertura contra el tipo de ataque que acabó con Drift. Y, más importante, una revisión periódica: un protocolo puede ser seguro hoy y tener una ventana de migración sin timelock programada para la semana que viene.
Cómo reducir este riesgo con CleanSky
Cuando un exploit como el de Drift aparece en titulares, la primera pregunta operativa es "¿tengo fondos expuestos a ese protocolo, directa o indirectamente a través de otro que depende de él?". CleanSky responde a esa pregunta en segundos. Pegas la dirección de tu billetera — es solo lectura, no pide cuenta, no pide permisos, no tiene acceso a tu dinero — y escanea más de 50 redes y 484 protocolos mostrando cada depósito, cada token LP, cada posición de margen y cada staking activo en un único panel unificado.
La idea es que tu cartera DeFi se comporte como tu app bancaria para DeFi: igual que una app bancaria te muestra cuentas, tarjetas e inversiones de un vistazo, CleanSky te muestra en qué protocolos está cada euro de tu capital. Si Drift, Morpho, Aave o cualquier otro aparece como host de parte de tus fondos, lo verás sin tener que ir protocolo por protocolo — con los eventos de seguridad que afectan a cada uno al lado.
Conclusión: la descentralización no es un escudo contra la paciencia
El hackeo de Drift Protocol no será recordado por el dinero robado sino por la relación entre seis meses de preparación y doce minutos de ejecución. Esa ratio define la nueva era: los atacantes patrocinados por estados-nación no buscan bugs en Rust o Solidity; buscan firmantes cansados, migraciones apresuradas y canales de comunicación donde ya nadie desconfía porque todos se conocen de hace meses.
La resiliencia de los protocolos DeFi en 2026 ya no depende tanto de la corrección del código como de la robustez de los procesos humanos — quién firma, cuántos firman, cuánto espera la cadena antes de ejecutar una acción sensible, y si los desarrolladores que mantienen el protocolo están operando en entornos aislados o en equipos infiltrados sin saberlo. Drift demuestra que la descentralización, por sí sola, no es un escudo contra la paciencia del adversario. La disciplina operativa sí lo es.