285 millones fueron drenados en 12 minutos, no por un error, sino porque el sistema confiaba en los humanos más de lo que debería.

El 1 de abril de 2026, Drift Protocol, el mayor DEX perpetuo en Solana, fue explotado por $285M. El protocolo tenía alrededor de $550M en valor total bloqueado antes del ataque, y más de la mitad de eso fue efectivamente eliminado en minutos.

La parte importante es esta: nada se rompió a nivel de código. No hubo un error en el contrato inteligente. El sistema se comportó exactamente como fue diseñado.

Los atacantes pasaron aproximadamente seis meses construyendo acceso. Se acercaron a los contribuyentes a finales de 2025 haciéndose pasar por una firma de trading legítima, asistieron a conferencias reales, mantuvieron discusiones técnicas e incluso desplegaron más de $1M en el ecosistema para parecer creíbles. Con el tiempo, ganaron confianza e introdujeron herramientas maliciosas a través de repositorios de código compartidos y aplicaciones falsas. Esto les permitió comprometer los dispositivos de los contribuyentes conectados a la gobernanza.

De allí, dirigieron su atención a la capa de gobernanza en lugar del código.

Drift utilizó un multisig 2-de-5 sin timelock, lo que significa que cualquier dos firmantes podían aprobar acciones administrativas al instante. Los atacantes explotaron esto logrando que los firmantes aprobaran transacciones por adelantado usando una función de Solana llamada durable nonces, que permite que una transacción firmada permanezca válida indefinidamente. Estas aprobaciones se recopilaron semanas antes del exploit y no podían ser revocadas posteriormente.

Al mismo tiempo, los atacantes crearon un token falso llamado CVT. Emitieron 750 millones de tokens, añadieron liquidez mínima y usaron wash trading para hacer que pareciera un activo $1 real. El sistema de oráculos del protocolo aceptó esta fijación de precios como válida porque no había controles estrictos de liquidez o validación en su lugar.

Cuando todo estuvo listo, la ejecución tomó aproximadamente 12 minutos.

Usaron las transacciones preaprobadas para tomar control de la gobernanza, listaron el token falso como colateral, manipularon su precio a través de su propio oráculo y aumentaron los límites de retiro para eliminar efectivamente todos los controles de riesgo. Luego depositaron el colateral falso y tomaron préstamos de activos reales contra él en múltiples vaults.

Un total de 31 transacciones drenaron alrededor de $285 millones en activos incluyendo USDC, ETH, tokens basados en SOL y otros.

En cuestión de horas, los fondos se movieron entre cadenas. Los atacantes intercambiaron activos por USDC, bridgiaron más de $200M a Ethereum a través de más de 100 transacciones, lo convirtieron en aproximadamente 129,000 ETH y dividieron los fondos en varias billeteras.

El ataque estuvo vinculado al Lazarus Group, que ha robado más de $6B de ecosistemas cripto en los últimos años.

Esto no fue una falla de la tecnología blockchain. Fue una falla en el diseño de gobernanza, en la confianza humana.

Fue una combinación de:

• Ingeniería social a largo plazo
• Acceso de gobernanza preaprobado
• Colateral falso que pasó las verificaciones del sistema
• Ejecución inmediata sin salvaguardas de retraso