#Gate广场四月发帖挑战

Nadie en DeFi quería creerlo cuando vio por primera vez el titular el 1 de abril de 2026. El equipo de Drift Protocol tuvo que aclarar de inmediato que esto no era una broma de April Fools. Lo que sucedió ese día en uno de los intercambios descentralizados más importantes de Solana fue real, fue devastador, y ahora se le llama el segundo mayor exploit en toda la historia de la blockchain de Solana.

Drift Protocol es un intercambio de futuros perpetuos y derivados construido sobre Solana. En su pico, el protocolo tenía aproximadamente $550 millones en valor total bloqueado en vaults compartidos que contenían depósitos de usuarios en activos como USDC, JitoSOL, tokens JLP, Bitcoin envuelto y Solana. El 1 de abril de 2026, los atacantes drenaron entre $280 millones y $285 millones de esos vaults, más de la mitad de todo lo que los usuarios confiaron al protocolo para mantener. El TVL colapsó de $550 millones a solo $24 millones en cuestión de horas.

Lo que hace que este exploit sea particularmente alarmante es que no se rompió ningún código de contrato inteligente. No se robaron claves privadas en el sentido tradicional. Esto no fue un error en la lógica del programa en cadena de Drift. Lo que los atacantes ejecutaron fue algo mucho más sofisticado y mucho más inquietante: una operación cuidadosamente diseñada de ingeniería social dirigida a las personas detrás de la arquitectura de seguridad del protocolo.

Drift Protocol, como muchos proyectos DeFi, utilizaba un sistema multisig de 5 de 9 en el Consejo de Seguridad para gobernar decisiones a nivel administrativo. Los atacantes pasaron varias semanas preparándose antes de mover un solo dólar. Desde aproximadamente el 23 de marzo de 2026, comenzaron a crear cuentas de nonce duraderas, una función nativa de Solana, vinculadas a las billeteras de los firmantes del multisig del Consejo de Seguridad de Drift. Estas cuentas de nonce permitían a los atacantes prefirmar transacciones que podían ejecutarse en cualquier momento futuro sin requerir una nueva aprobación de los firmantes. Es probable que los firmantes aprobaran transacciones que parecían rutinarias o inocuas, sin darse cuenta de que estaban entregando el mecanismo para una toma de control futura.

El 27 de marzo, los atacantes explotaron un evento de migración programada del multisig, un procedimiento legítimo de mantenimiento del protocolo, como cobertura. Incrustaron su infraestructura maliciosa dentro de esta operación rutinaria sin activar alarmas. Luego, el 1 de abril, justo después de que el equipo procesara una retirada de prueba legítima, las transacciones prefirmadas se ejecutaron automáticamente. En solo cuatro slots de la blockchain de Solana, aproximadamente dos segundos, los atacantes se habían otorgado control total de administrador sobre todo el protocolo.

Con el acceso de administrador asegurado, el ataque se movió en tres pasos devastadores. Primero, asumieron completamente los poderes de administrador. Segundo, introdujeron un activo falso llamado CarbonVote Token y lo comerciaron de manera agresiva para manipular los oráculos de precios y que lo trataran como un activo legítimo con valor real. Tercero, eliminaron por completo los límites de retiro y drenaron sistemáticamente aproximadamente veinte vaults compartidos, llevándose todo lo que pudieron en USDC, JitoSOL, tokens JLP, Bitcoin envuelto y SOL. El token DRIFT cayó más del 40 por ciento en valor en horas tras hacerse público el exploit.

Los fondos no permanecieron en Solana. Aproximadamente 278,5 millones de dólares fueron transferidos a Ethereum usando el Cross-Chain Transfer Protocol de Circle, casi inmediatamente después del drenaje. Los atacantes evitaron deliberadamente USDT, probablemente para reducir el riesgo de un congelamiento centralizado, y movieron los fondos a través de cuatro direcciones de billetera en Ethereum que desde entonces han sido rastreadas y publicadas por la firma de análisis blockchain Arkham Intelligence. La firma de seguridad Elliptic ha reportado posibles vínculos con actores de amenaza afiliados al estado de Corea del Norte, y algunas partes de los fondos ya se han movido a través de Tornado Cash, una herramienta de ofuscación conocida, mientras que algunos flujos han sido identificados hacia un intercambio importante donde la verificación KYC podría complicar aún más el movimiento.

Drift Protocol respondió pausando de inmediato todos los depósitos y retiros, congelando por completo el protocolo y eliminando la billetera multisig comprometida de cualquier acceso administrativo adicional. El equipo confirmó que el fondo de seguros no fue afectado y que el DSOL mantenido fuera de Drift permaneció seguro. Se notificó a las autoridades y el equipo está trabajando con varias firmas de seguridad blockchain en la atribución y posible recuperación. Se ha prometido un informe completo de las causas.

Este exploit no es solo un problema de Drift. Es la lección de seguridad más importante que ha recibido DeFi en años. El ataque no fue una falla de código, fue una falla de gobernanza. Los sistemas multisig solo son tan fuertes como las personas que los operan y los procesos que los rodean. Los nonces duraderos en Solana crean una vulnerabilidad de pre-firmado que el ecosistema en general no ha abordado adecuadamente. La ingeniería social de los firmantes clave ahora es un vector de ataque probado a escala, con $285 millones como prueba de concepto.

Cada protocolo que utilice una estructura de gobernanza multisig, en Solana o en cualquier otro lugar, debe auditar inmediatamente su exposición a cuentas de nonce. Cada usuario de DeFi debe entender que las auditorías de código por sí solas no pueden proteger contra ataques a nivel humano de esta sofisticación. El exploit de Drift es un momento decisivo para el diseño de seguridad descentralizada y los $285 millones que costó pertenecen a usuarios reales que confiaron en el sistema.

DeFi no está roto. Pero está siendo puesto a prueba más duro que nunca.
#DriftProtocolHacked
#CreaterLeaderBoard