Resumen. Phantom Wallet sufrió tres golpes significativos en Q1 2026: una caída de 3.5 horas que dejó saldos en cero, un robo de $264,000 por envenenamiento de direcciones que el investigador ZachXBT documentó públicamente, y la onda expansiva del hack de $285 millones a Drift Protocol. Este informe analiza cada incidente, las vulnerabilidades de diseño que los hicieron posibles y qué puede hacer un usuario para protegerse hoy.
La caída del 6 de abril: 3 horas sin saldos
El 6 de abril de 2026, a las 16:42 PDT, millones de usuarios de Phantom vieron sus saldos mostrar cero. Los precios se congelaron. Las extensiones de navegador y la versión de escritorio dejaron de funcionar. La red Solana operaba con normalidad — el problema era exclusivamente de la capa centralizada de Phantom.
El fallo duró 3 horas y 30 minutos. La aplicación móvil siguió funcionando, lo que sugiere que utiliza un clúster de nodos RPC diferente con mayor redundancia.
| Métrica | Dato |
|---|---|
| Duración total | 3h 30min |
| Plataformas afectadas | Extensión de navegador + escritorio |
| App móvil | Operativa (resiliencia superior) |
| Red Solana | 100% operacional durante todo el incidente |
| Resolución | Parche en servidores de indexación de backend |
La página de estado mintió
Mientras plataformas externas como StatusGator detectaron la caída de inmediato, la página oficial de Phantom mantuvo el indicador en "Operacional" durante la mayor parte del incidente. Auditores externos le asignaron una calificación de precisión "D" (Pobre), con un retraso promedio de 2–4 horas en el reconocimiento de incidentes.
Reportes de usuarios siguieron llegando hasta 24 horas después de la supuesta resolución, con problemas de sincronización en regiones dispersas — desde Carolina del Norte hasta los Países Bajos.
Lección clave. Tu billetera puede mostrar cero aunque tus fondos estén intactos en la blockchain. Si Phantom falla, puedes verificar tus saldos directamente en Solscan o Solana FM. Para tener acceso continuo, mantén una segunda billetera (como Solflare o Jupiter) configurada con las mismas claves.
Envenenamiento de direcciones: $264,000 robados por copiar mal
El envenenamiento de direcciones no requiere hackear tu clave privada. Es más simple — y por eso funciona. Los atacantes crean carteras cuyas direcciones comparten los mismos primeros y últimos caracteres que las tuyas, luego envían transacciones de polvo para aparecer en tu historial.
El truco: cuando copias una dirección del historial reciente, Phantom muestra direcciones truncadas (por ejemplo, 0x85c...11D8f6). Si el atacante generó una dirección que coincide en esos caracteres visibles, copias la suya sin darte cuenta.
| Táctica del atacante | Cómo funciona | Riesgo |
|---|---|---|
| Dirección vanity | Genera carteras con caracteres idénticos al inicio y final | Alta probabilidad de confusión |
| Transacción de polvo | Envía cantidades mínimas para aparecer en el historial | La dirección maliciosa se mezcla con las legítimas |
| Transferencia de valor cero | Usa contratos inteligentes para crear entradas sin coste | Engaño visual sin gasto para el atacante |
| Truncamiento de UI | Phantom solo muestra los extremos de la dirección | Facilita la suplantación |
El caso ZachXBT: 3.5 WBTC perdidos
En febrero de 2026, un usuario perdió 3.5 Wrapped Bitcoin ($264,000) al copiar una dirección envenenada de su historial. El investigador on-chain ZachXBT documentó el caso y criticó públicamente a Phantom por no implementar filtros de spam agresivos que oculten automáticamente estas transacciones fraudulentas.
La simulación de transacciones de Phantom — su herramienta más potente de seguridad — no puede detectar este tipo de ataque. El motor simula si el contrato de destino es malicioso, pero no puede saber si la dirección es la que el usuario realmente quería.
Cómo protegerte. Nunca copies direcciones del historial de transacciones. Usa siempre la libreta de direcciones de Phantom o un gestor de contactos verificado. Para transacciones de alto valor, verifica cada carácter en la pantalla física de tu hardware wallet.
El hack de Drift Protocol: $285 millones en 12 minutos
El 1 de abril de 2026, Drift Protocol — el exchange de perpetuos líder en Solana — perdió $285 millones. No fue un fallo de código: fue ingeniería social de alto nivel combinada con una funcionalidad legítima de Solana llamada "durable nonces".
Cómo funcionó el ataque
Los atacantes dedicaron seis meses a infiltrarse en el círculo de confianza de los desarrolladores de Drift. Asistieron a conferencias bajo identidades falsas de una firma cuantitativa y obtuvieron gradualmente aprobaciones de multisig para transacciones pre-firmadas.
| Fase | Acción | Consecuencia |
|---|---|---|
| Infiltración (6 meses) | Relaciones personales con el equipo, reuniones presenciales | Acceso a aprobaciones de multisig |
| Manipulación de oráculo | Wash trading del token CVT para inflar su valor | CVT aceptado como colateral a valor inflado |
| Ejecución (12 min) | Transacciones pre-firmadas via durable nonces | $285M drenados, TVL de $550M a <$250M |
| Lavado (6 horas) | $230M movidos via Circle CCTP de Solana a Ethereum | Circle no intervino para congelar los fondos |
Los usuarios de Phantom con depósitos en Drift vieron sus saldos desaparecer instantáneamente de la interfaz. No hubo advertencia previa. La billetera no tenía forma de saber que Drift estaba comprometido hasta que ya era tarde.
La polémica de Circle
La investigación posterior reveló que Circle procesó $230 millones en USDC robados durante 6 horas sin intervenir. Firmas legales como Gibbs Mura han iniciado investigaciones de acción de clase, cuestionando por qué Circle congeló carteras de negocios legítimos días antes del hack pero no actuó ante un robo confirmado.
Phantom Chat: ¿innovación o riesgo?
Phantom planea lanzar un sistema de mensajería nativo en 2026, permitiendo comunicación directa entre carteras. La idea es facilitar el comercio de NFTs y transacciones P2P. La hoja de ruta ha sido clara: comunidades de Telegram (2024), integración con X (2025), chat nativo (2026).
El problema: introducir un canal de comunicación dentro del mismo entorno donde gestionas claves privadas es exactamente lo que los atacantes necesitan. Un mensaje que parezca de un contacto conocido, junto a una dirección envenenada, multiplica la probabilidad de error.
El consenso entre profesionales de seguridad como ZachXBT es directo: Phantom Chat necesita filtros de spam de grado bancario y verificación de identidad robusta antes de desplegarse. La prioridad debería ser arreglar el envenenamiento de direcciones, no añadir más superficie de ataque.
Lo que Phantom sí hace bien: el firewall de Blowfish
Tras la adquisición de Blowfish, Phantom integró un motor de simulación de transacciones que analiza cada operación antes de firmarla. Los números son relevantes:
- 85 millones de transacciones analizadas hasta la fecha
- 18,000+ intentos de drenaje total de fondos prevenidos
- Detección de firmas
setAuthorityque podrían ceder el control de tu cuenta - Blocklist open-source con más de 2,000 dominios maliciosos
- 600,000+ NFTs fraudulentos quemados por usuarios (recuperando renta de SOL)
El sistema funciona bien contra contratos maliciosos y dApps fraudulentas. Donde falla es precisamente en los ataques que no involucran un contrato malicioso — como el envenenamiento de direcciones, donde el usuario selecciona voluntariamente la dirección equivocada.
El contexto de Solana: Firedancer y Alpenglow
El rendimiento de Phantom está directamente atado a la evolución de la red Solana. En Q1 2026, dos actualizaciones cambian las reglas:
| Actualización | Qué cambia | Impacto en Phantom |
|---|---|---|
| Firedancer | Nuevo cliente validador con mayor resiliencia | Menos transacciones fallidas por congestión |
| Alpenglow (SIMD-0326) | Finalidad reducida de 12 segundos a ~150ms | Confirmaciones casi instantáneas, menos duplicaciones |
La red también ha visto un crecimiento masivo en tokenización de activos reales (RWA): Solana superó a Ethereum en tenedores de RWA, alcanzando $2,000 millones en valor bloqueado, con Mastercard, Worldpay y Western Union utilizando la plataforma. Esto eleva la responsabilidad de Phantom: ya no gestiona solo memecoins, sino nóminas internacionales, pagos de e-commerce y tarjetas Visa integradas.
Recomendaciones: qué hacer hoy
Los tres incidentes de Q1 2026 revelan el mismo patrón: Phantom no fue hackeada directamente, pero su interfaz facilitó las pérdidas. Estas son las medidas más efectivas:
- Usa siempre la libreta de direcciones. Nunca copies direcciones del historial de transacciones. Es la única defensa real contra el envenenamiento.
- Mantén una segunda billetera. Si Phantom cae, necesitas acceso a tus fondos. Configura Solflare o Jupiter con las mismas claves como respaldo.
- Verifica en hardware. Para transacciones superiores a $1,000, confirma cada carácter de la dirección en la pantalla de tu Ledger o Trezor.
- Desconfía de Phantom Chat. Cuando se lance, trata cualquier mensaje con solicitud de fondos como malicioso por defecto hasta verificar por otro canal.
- Monitoriza tus aprobaciones. Revisa periódicamente qué contratos tienen permisos sobre tus tokens. CleanSky te muestra todas tus aprobaciones activas y su nivel de riesgo.
La conclusión. Phantom sigue siendo la puerta de entrada más popular a Solana, pero en 2026 ha quedado claro que la seguridad de la interfaz importa tanto como la seguridad de la blockchain. Mientras Phantom resuelve los problemas de truncamiento de direcciones, filtrado de spam y transparencia en su página de estado, la responsabilidad recae en el usuario: verificar, diversificar y nunca confiar ciegamente en lo que muestra la pantalla.