Dentro del truco Drift de 280 millones de dólares: semanas de configuración, minutos para agotar
Drift Protocol, el intercambio de cifrado con sede en Solana, fue pirateado ayer por aproximadamente $ 280 millones como parte de una operación de semanas que probablemente utilizó ingeniería social para comprometer las aprobaciones de múltiples firmantes multifirma.
El 1 de abril a las 7 p. m., hora UTC+1, Drift anunció que había una "actividad inusual" en el protocolo y que los usuarios debían evitar depositar fondos. Destacó: "Esto no es una broma del Día de los Inocentes".
Esto se debió a que los usuarios de X dieron la alarma de que Drift estaba siendo explotado y que iba a ser sustancial.
Luego, Drift confirmó que estaba bajo un ataque continuo y que tendría que suspender los depósitos y retiros. Los investigadores comenzaron a especular que las claves privadas de Drift estaban comprometidas.
Drift Protocol está experimentando un ataque activo. Se han suspendido los depósitos y retiros. Estamos coordinando con múltiples empresas de seguridad, puentes e intercambios para contener el incidente. Esto no es una broma del Día de los Inocentes. Proporcionaremos actualizaciones adicionales de esta cuenta como... https://t.co/03SRPq4fHj
- Deriva (@DriftProtocol) 1 de abril de 2026
Desde entonces, Drift ha compartido una cronología detallada de lo que sucedió y cómo.
Decía: "Esta fue una operación altamente sofisticada que parece haber involucrado una preparación de varias semanas y una ejecución por etapas, incluido el uso de cuentas nonce duraderas para prefirmar transacciones que retrasaron la ejecución".
Afirma que el ataque no fue causado por un error en los programas o contratos inteligentes de Drift, que no había evidencia de frases iniciales comprometidas y que el ataque implicó aprobaciones de transacciones no autorizadas antes de la ejecución del hack.
Sin embargo, admitió que estas aprobaciones probablemente fueron facilitadas por un ataque de ingeniería social contra su personal y la manipulación de “mecanismos nonce duraderos”.
¿Qué pasó con Drift?
Los mecanismos nonce duraderos son un tipo de herramienta blockchain que puede evitar la firma blockhash y facilitar la firma de traducción fuera de línea.
Drift afirma que el 23 de marzo se crearon cuatro cuentas nonce duraderas, dos de las cuales estaban asociadas con miembros multifirma del Consejo de Seguridad de Drift y dos asociadas con cuentas controladas por atacantes.
A continuación se muestra la cronología de los eventos. 23 de marzo: Configuración inicial de Nonce Se crearon cuatro cuentas nonce duraderas: - Dos asociadas con miembros multifirma del Drift Security Council - Dos asociadas con cuentas controladas por atacantes Cuentas relevantes: a....
- Deriva (@DriftProtocol) 2 de abril de 2026
Luego, el 27 de marzo, “Drift ejecutó una migración planificada del Consejo de Seguridad debido a un cambio de miembro del consejo”.
Tres días después, se creó otra cuenta nonce duradera para un miembro del multifirma actualizado, lo que les dio a los atacantes "acceso efectivo a 2/5 firmantes en el multifirma actualizado".
dia de ejecucion
Drift afirma que el 1 de abril realizó un retiro de prueba del fondo de seguro. Luego, el atacante, con acceso a las aprobaciones multifirma, ejecutó "una transferencia de administrador maliciosa en cuestión de minutos, obteniendo el control de los permisos a nivel de protocolo".
Luego, los atacantes podrían "usar ese control para introducir un activo malicioso y eliminar todos los límites de retiro preestablecidos que atacan los fondos existentes".
Drift no ha compartido ningún detalle sobre cómo se produjo el probable ataque de ingeniería social. A veces pueden ser el resultado de que un atacante adopte una identidad falsa, ya sea a través de un mensaje directo, correo electrónico o teléfono, y engañe a alguien para que le dé acceso a privilegios clave.
Circle, el socio de Drift, no ha congelado fondos
El incidente generó críticas por parte del investigador de criptomonedas ZachXBT, quien discrepó de la firma de monedas estables Circle y sus lentos esfuerzos por congelar los fondos robados.
Drift integró el Protocolo de transferencia entre cadenas (CTTP) de Circle en 2023. ZachXBT señaló que "Circle estaba dormido mientras muchos millones de USDC se intercambiaban a través de CCTP de Solana a Ethereum durante horas desde el truco Drift de 9 cifras durante el horario de EE. UU.".
"Seis horas es el tiempo que Circle tuvo para congelar los fondos robados del hack de Drift de más de 280 millones de dólares", dijo.
Otros usuarios se han mostrado en desacuerdo con la clasificación del protocolo como “descentralizado”, después de que el ataque pareciera haber explotado mecanismos centralizados.
A otros usuarios les molestó que Drift solo requiriera dos de las cinco aprobaciones múltiples para realizar la transacción.
ahí está el culpable 2/5 multifirma para un TVL de 500 millones sin bloqueo de tiempo, es una locura. Pensarías que es 4/5 multifirma, pero no, estos equipos están locos y luego se les ocurrirá una tontería muy técnica para explicar por qué después de que se acaban los fondos de los usuarios.
– tobi (@tobific) 2 de abril de 2026
La plataforma dijo que estaba trabajando junto con empresas de seguridad, fuerzas del orden, puentes e intercambios para descubrir qué sucedió y congelar los activos robados. Agregó que en los próximos días llegará un informe más detallado.
El director de tecnología de Ledger ya ha especulado que los acontecimientos del hack se parecen a un modus operandi similar “al hack de Bybit el año pasado, ampliamente atribuido a actores vinculados a la RPDC”.
Protos se ha puesto en contacto con Drift para hacer comentarios y actualizará este artículo si escuchamos algo.