El foco de los incidentes de seguridad en el sector cripto está desplazándose rápidamente de las vulnerabilidades a nivel de código hacia la capa humana de la confianza.
El 1 de abril de 2026, Drift Protocol, una de las principales plataformas descentralizadas de derivados en el ecosistema Solana, sufrió un ataque que provocó pérdidas de aproximadamente 285 millones de dólares. El valor total bloqueado (TVL) en la plataforma cayó de unos 550 millones de dólares antes del incidente a cerca de 230 millones después. La investigación preliminar de Drift confirmó que la operación fue orquestada por UNC4736, un grupo de hackers vinculado al gobierno de Corea del Norte, describiéndola como "una operación de inteligencia estructurada de seis meses de duración".
Esta conclusión señala una transformación que va mucho más allá de una brecha de seguridad puntual. Cuando los hackers estatales pasan de explotar vulnerabilidades de código a infiltrarse durante meses en relaciones de confianza interpersonal, el paradigma de seguridad de toda la industria DeFi está siendo reescrito de forma sistemática. Los ataques ya no requieren exploits complejos en contratos inteligentes ni robo de claves privadas: basta con una relación paciente, una identidad cuidadosamente construida y el tiempo suficiente.
¿Cómo funcionó el ataque?
La operación de UNC4736 demostró un nivel de organización y compromiso de recursos muy superior al de los grupos de hackers habituales. Desde el otoño de 2025, individuos que se hacían pasar por representantes de una firma de trading cuantitativo se acercaron proactivamente a colaboradores de Drift en varias conferencias internacionales de criptomonedas. Estas personas tenían altos conocimientos técnicos, antecedentes profesionales verificables y un profundo conocimiento de las operaciones de Drift. Es relevante señalar que quienes establecieron contacto presencialmente no eran ciudadanos norcoreanos, sino intermediarios externos desplegados por los actores de amenaza norcoreanos.
Tras ganarse la confianza, el grupo se incorporó al tesoro del ecosistema Drift entre diciembre de 2025 y enero de 2026, depositando más de 1 millón de dólares de fondos propios para reforzar su credibilidad. Durante este periodo, mantuvieron conversaciones detalladas y profesionales sobre cuestiones de producto con varios colaboradores.
La brecha técnica se produjo a través de dos vectores. Un colaborador fue comprometido tras clonar un repositorio de código malicioso que explotaba vulnerabilidades conocidas en los editores VSCode y Cursor, sobre las que la comunidad de seguridad había advertido en repetidas ocasiones. Simplemente abrir un archivo, carpeta o repositorio en el editor podía ejecutar código arbitrario en silencio, sin necesidad de ninguna acción o clic por parte del usuario. Otro colaborador fue inducido a descargar una aplicación falsa de wallet a través de la plataforma TestFlight de Apple. Una vez obtenidos los accesos internos, los atacantes utilizaron la función Durable Nonce nativa de Solana para prefirmar transacciones y, tras la aprobación multisig, drenar los fondos de forma instantánea.
¿Cuáles son los costes de este nuevo paradigma de ataque?
El incidente de Drift puso de manifiesto costes en múltiples frentes, mucho más allá de los 285 millones de dólares en pérdidas directas.
El impacto más inmediato fue la pérdida financiera y el shock en el mercado. Se trata del mayor incidente de seguridad DeFi de 2026 hasta la fecha y el segundo mayor en la historia de Solana. Tras el ataque, el precio del token DRIFT se desplomó más de un 90 % desde su máximo histórico.
Más preocupante aún es el efecto contagio. El número de protocolos afectados por el exploit de Drift ha pasado de 11 inicialmente a más de 20, incluyendo nuevas víctimas como PiggyBank, Perena, Vectis y Prime Numbers Fi. Algunos protocolos han suspendido las funciones de emisión, canje o depósito/retiro. El protocolo de préstamos descentralizados Project 0 detuvo su operativa e inició un proceso de reducción de apalancamiento, lo que resultó en una depreciación media del 2,61 % para los prestamistas.
El coste más profundo y difícil de cuantificar es la erosión de la confianza, base de la seguridad en DeFi. Drift subrayó que todos los miembros del multisig utilizaban wallets en frío, y aun así el ataque tuvo éxito. Esto demuestra que, cuando los atacantes apuntan a la capa humana, incluso los controles estrictos de hardware pueden ser sorteados. Si los atacantes operan como una organización legítima durante meses, invirtiendo fondos y participando en el ecosistema, los sistemas de seguridad actuales son prácticamente incapaces de detectarlos.
¿Qué implica esto para el panorama DeFi?
El caso de Drift está obligando a la industria a replantearse una pregunta fundamental: ¿Siguen siendo válidas las premisas básicas de seguridad en las finanzas descentralizadas?
Un área clave de reflexión gira en torno a las vulnerabilidades estructurales de los sistemas de confianza de terceros. El modus operandi de UNC4736 reveló que el ecosistema DeFi actual carece de procesos sistemáticos de verificación de seguridad y monitorización continua para nuevos socios. Actividades consideradas prácticas empresariales estándar—networking en conferencias, mensajería instantánea, incorporación a tesoros de ecosistemas—son precisamente el camuflaje que necesitan los hackers estatales para infiltrarse.
Otro debate crítico se centra en las lagunas de cumplimiento en la recuperación de fondos. Investigadores on-chain señalaron que los atacantes transfirieron unos 232 millones de dólares en USDC de Solana a Ethereum mediante protocolos cross-chain. Los emisores de stablecoins tuvieron una ventana de seis horas para congelar estos fondos, pero no tomaron ninguna medida. Esto plantea una cuestión sistémica más profunda: cuando fallan las defensas de los protocolos DeFi, ¿es sostenible depender de emisores centralizados de stablecoins para intervenciones basadas en el cumplimiento? ¿Dónde están los límites de actuación de las entidades reguladas ante flujos de fondos de gran escala?
¿Qué sigue?
A partir de la investigación actual y la respuesta de la industria, se observan varias tendencias emergentes.
Los presupuestos de seguridad serán reevaluados de forma sistemática. En 2025, las pérdidas globales por brechas de seguridad en cripto superaron los 3 400 millones de dólares, con 89 incidentes confirmados en el espacio Web3 que sumaron 2 540 millones en pérdidas. A medida que los ataques de origen estatal se vuelven habituales, confiar únicamente en auditorías de código y pruebas de seguridad ya no es suficiente. Se espera que más protocolos inviertan en formación en seguridad operativa, simulacros de defensa ante ingeniería social y procesos de verificación de antecedentes más rigurosos.
El riesgo de contagio entre protocolos será un nuevo foco de atención. El efecto dominó del incidente de Drift, que ha afectado a más de 20 protocolos, demuestra que la composabilidad de DeFi es un arma de doble filo para la seguridad. Las respuestas futuras podrían incluir: (1) aislamiento de dependencias y jerarquización de seguridad a nivel de protocolo, y (2) mecanismos sectoriales de respuesta ante incidentes y compartición de información.
Los límites regulatorios y de cumplimiento seguirán en debate. Los estándares de actuación para los emisores de stablecoins en este tipo de incidentes serán un punto central en la discusión regulatoria, lo que podría dar lugar a marcos de emergencia para flujos transfronterizos de criptoactivos.
¿Qué riesgos siguen presentes?
Aunque Drift ha congelado todas las funciones del protocolo y eliminado las wallets comprometidas del multisig, persisten varios riesgos que requieren atención continuada.
Irreversibilidad en la recuperación de fondos. Los atacantes eliminaron rápidamente los registros de mensajería instantánea y el malware tras el robo, y los fondos sustraídos ya han sido transferidos a Ethereum. Los grupos de hackers norcoreanos cuentan con redes maduras de lavado de dinero y mezcladores cross-chain, lo que hace que la mayoría de los fondos robados sean probablemente irrecuperables.
Capacidades de seguridad asimétricas. Las organizaciones de hackers estatales disponen de recursos organizativos, financiación constante y roles especializados, mientras que la mayoría de los protocolos DeFi operan con equipos pequeños y recursos de seguridad limitados. Los atacantes están explotando sistemáticamente esta asimetría. Las identidades utilizadas por estos actores presentan currículos profesionales completos, credenciales públicas y redes sociales profesionales, lo que les permite superar los procesos estándar de due diligence empresarial.
Fatiga de confianza que frena la innovación del sector. Si cada nuevo socio requiere una verificación de seguridad exhaustiva y monitorización continua, las fortalezas centrales de DeFi—apertura y composabilidad—corren el riesgo de verse erosionadas. Encontrar el equilibrio entre defensas de seguridad y eficiencia operativa será un reto crítico para la industria.
Conclusión
El hackeo a Drift ha sacado a la luz una realidad largamente ignorada: las amenazas de seguridad en DeFi han dado un salto generacional. Desde bugs en contratos inteligentes y robos de claves privadas, hasta infiltraciones de ingeniería social de seis meses por parte de actores estatales, los atacantes evolucionan mucho más rápido que los sistemas de defensa. Cuando los atacantes ya no necesitan romper el código, sino solo la confianza de una persona, la eficacia del multisig, las wallets en frío y el aislamiento hardware debe ser reevaluada.
La industria necesita algo más que mejores auditorías de código y controles de acceso más estrictos: requiere un nuevo enfoque de seguridad, considerando la "confianza humana" como una superficie de ataque tan relevante como el "código de contratos inteligentes". Cada eslabón de la cadena—desde la verificación de antecedentes y la cultura de seguridad operativa, hasta la monitorización continua de socios del ecosistema y la respuesta de emergencia cross-protocolo—debe redefinirse. En la nueva normalidad de actores estatales en la seguridad cripto, ningún protocolo puede protegerse en solitario: la cadena de seguridad es tan fuerte como su eslabón más débil.
Preguntas frecuentes
P: ¿UNC4736 es lo mismo que Lazarus?
UNC4736 es un nombre en clave utilizado por firmas de seguridad para rastrear actores de amenaza vinculados a Corea del Norte. Aunque existe solapamiento con el más conocido Lazarus Group, no son exactamente lo mismo. Se cree que UNC4736 se centra en operaciones sostenidas de ingresos recurrentes en el sector cripto, atacando entidades pequeñas y medianas mediante infiltración persistente.
P: ¿Por qué el multisig no protegió a Drift del ataque?
Los atacantes no robaron directamente las claves privadas del multisig. En su lugar, obtuvieron derechos de aprobación multisig mediante ingeniería social y luego usaron la función Durable Nonce de Solana para prefirmar transacciones y ejecutarlas al instante en cuanto tuvieron los permisos necesarios. Esto demuestra que la seguridad del multisig depende de que los firmantes no sean comprometidos a través de ingeniería social.
P: ¿Este ataque implicó una vulnerabilidad en contratos inteligentes?
No. Drift ha confirmado que el núcleo del ataque fue la ingeniería social y el abuso de la función Durable Nonce, no un exploit tradicional de código en contratos inteligentes.
P: ¿Qué acciones tomó Drift tras el incidente?
Drift congeló todas las funciones del protocolo, eliminó las wallets comprometidas del multisig e invitó a firmas de seguridad a realizar una investigación forense exhaustiva. El equipo del protocolo declaró estar colaborando con las agencias de seguridad para rastrear los fondos robados.
