El 1 de abril de 2026 no fue ninguna broma — y Drift Protocol lo dejó claro de inmediato con un mensaje en X que resultaba especialmente surreal ese día: "This is not an April Fools joke."
En doce minutos, el principal exchange de perpetuos descentralizado en Solana había perdido 285 millones de dólares. No por un fallo en el código. Por algo mucho más difícil de corregir.
Tres semanas de preparación, doce minutos para ejecutar
Todo comienza el 11 de marzo con un retiro de 10 ETH desde Tornado Cash — movidos alrededor de las 9 de la mañana, hora de Pyongyang. Ese detalle importa. Esos fondos financiaron la creación del CarbonVote Token (CVT), un token completamente ficticio, sin ningún valor real. Durante las semanas siguientes, los atacantes trabajaron con paciencia: poca liquidez en Raydium, wash trading sistemático, precio mantenido artificialmente en torno a 1 dólar. Los oráculos de Drift lo registraron como un activo legítimo. La trampa estaba tendida.
El 23 de marzo se abrieron cuatro cuentas durable nonce. Dos pertenecían a miembros reales del Security Council de Drift. Dos estaban en manos de los atacantes, que ya habían obtenido las firmas necesarias — probablemente presentando transacciones ordinarias a los firmantes multisig, quienes no tenían manera de saber qué estaban aprobando realmente. El 27 de marzo, Drift migró su Security Council a una configuración 2/5 sin timelock, eliminando así el último punto de control que podría haber detectado el ataque.
El 1 de abril todo se activó. Treinta y una transacciones de retiro en secuencia, aproximadamente doce minutos, tres bóvedas principales vaciadas — JLP Delta Neutral, SOL Super Staking, BTC Super Staking — por un total que supera los 285 millones de dólares en USDC, SOL, JLP y WBTC. El TVL del protocolo cayó de 550 millones a menos de 250 millones. El token DRIFT se desplomó más de un 40%. Once protocolos del ecosistema Solana sufrieron daños colaterales.
ZachXBT, Circle y una pregunta que quema
Inmediatamente después del exploit, el atacante convirtió la mayor parte de los activos robados en USDC y luego usó el bridge CCTP de Circle — el protocolo cross-chain del emisor de USDC — para mover aproximadamente 232 millones de dólares de Solana a Ethereum en más de cien transacciones, durante seis horas y en pleno horario laboral estadounidense. Circle no hizo nada.
ZachXBT lo dijo con claridad en X, dirigiéndose directamente a Circle y a su CEO Jeremy Allaire:
Circle was asleep while many millions of USDC was swapped via CCTP from Solana to Ethereum for hours from the 9 figure Drift hack during US hours.
— ZachXBT (@zachxbt) April 2, 2026
Value was moved and nothing was done yet again.
Comes days after you froze 16+ business hot wallets incompetently which is still… pic.twitter.com/T0Xwg1HIfO
El contraste es revelador: el 23 de marzo — el mismo día en que los atacantes creaban sus cuentas durable nonce — Circle había bloqueado en minutos los saldos USDC de 16 wallets empresariales, incluyendo el ckETH Minter Smart Contract de la Fundación DFINITY, en el marco de una demanda civil en Estados Unidos. Wallets legítimas, empresas reales, sin previo aviso. ZachXBT ya lo había calificado como el bloqueo más incompetente que había visto en cinco años. Al menos Circle había actuado.
Esta vez no. El investigador Specter añadió un detalle revelador: el atacante mantuvo los fondos quietos durante una a tres horas antes de moverlos, evitando deliberadamente Tether. Sabía que Circle no intervendría.
Para los usuarios de América Latina, este episodio tiene una dimensión adicional: muchas personas en Argentina, Venezuela o México usan USDC precisamente como refugio frente a la devaluación de sus monedas locales. La inacción de Circle ante un robo masivo en tránsito por su propio protocolo plantea preguntas sobre la confiabilidad de los stablecoins como herramienta de preservación de valor.
Quién está detrás: el Lazarus Group, de nuevo
Elliptic y TRM Labs publicaron sus análisis con pocas horas de diferencia, y sus conclusiones coinciden. Todos los indicadores apuntan al Lazarus Group — el colectivo norcoreano ya señalado como responsable de los 1.400 millones sustraídos a Bybit en 2025 y del exploit de 326 millones en el Wormhole Bridge en 2022. Tornado Cash utilizado en las fases iniciales, marcas temporales coherentes con el horario de Pyongyang en el momento del despliegue del CVT, velocidad del lavado de dinero y patrones de bridging multi-chain — todo encaja.
Según Elliptic, este sería el decimoctavo ataque atribuido al régimen norcoreano en 2026. Más de 300 millones robados en pocos meses. Y según el gobierno estadounidense, esos fondos alimentan el programa balístico y nuclear de Pyongyang.
El problema no era el código
Dos auditorías habían dado el visto bueno a Drift — Trail of Bits en 2022, ClawSecure en febrero de 2026. No había ningún bug que encontrar. Lo que existía era una gobernanza construida sobre supuestos que un atacante paciente fue desmontando pieza por pieza: ningún timelock en las migraciones administrativas, oráculos sin umbrales mínimos de liquidez, y firmantes multisig sin procedimientos reales para verificar el contenido de una transacción antes de aprobarla.
En 2026, 35 protocolos DeFi han sido atacados por aproximadamente 453 millones de dólares en total. El hack de Drift es el incidente más grande del año. Probablemente no será el último.
