Imagínate que te levantas un miércoles cualquiera, te pones el café —uno de esos bien cargados, que aquí en Cartagena nos gusta que el cuerpo note el arranque— y, mientras revisas las noticias de tecnología, te encuentras con que han volado 285 millones de dólares en lo que tardas en acabarte la tostada. No es el guion de una película de atracos de Hollywood, ni una exageración para ganar clics. Es lo que ha pasado con Drift Protocol, el gigante de los futuros perpetuos en la red de Solana. Y ojo, que la fecha no es baladí: el 1 de abril de 2026. Sí, el día de los inocentes en el mundo anglosajón, pero para los usuarios de Drift, la broma ha tenido muy poca gracia.
La verdad es que, cuando hablamos de hackeos en el mundo cripto, solemos pensar en un genio informático encerrado en un sótano oscuro tecleando a la velocidad de la luz para romper un código impenetrable. Pero la realidad, como casi siempre, es mucho más mundana y, a la vez, más retorcida. Lo de Drift no ha sido solo una vulnerabilidad en el código; ha sido una obra de ingeniería social y manipulación financiera que nos deja a todos con el cuerpo cortado. Además, todo apunta a los sospechosos habituales: grupos de hackers vinculados a Corea del Norte, esos que se mueven por la red con la misma soltura con la que un pescador de Santa Lucía navega por nuestra bahía.
Lo que más me vuela la cabeza de este asunto es la precisión quirúrgica del ataque. Los fondos desaparecieron en apenas 12 minutos. Doce. En ese tiempo, la mayoría de nosotros apenas hemos decidido qué serie poner en Netflix, pero estos tipos ya habían vaciado las arcas de uno de los protocolos más importantes de Solana. Sin embargo, no te equivoques: aunque la ejecución fue un visto y no visto, el trabajo sucio empezó mucho antes. Concretamente, el 11 de marzo.
Durante casi tres semanas, los atacantes estuvieron preparando el terreno. No fue un impulso. Fue una operación planificada con la paciencia de quien espera a que el caldero esté en su punto exacto de cocción. Crearon infraestructura, fabricaron tokens de la nada y, lo más peligroso, se ganaron la confianza de quienes no debían. Es como si alguien estuviera limando los barrotes de una celda durante veinte días y, cuando llega el momento, simplemente empuja la reja y sale caminando por la puerta principal.
Vaya, que aquí no hubo un «agujero» que encontraron de casualidad. Hubo una construcción meticulosa de un engaño. Y es que, a veces, nos obsesionamos con que el código sea perfecto y nos olvidamos de que detrás de las máquinas hay personas. Y las personas, por muy expertas que sean, somos el eslabón más débil de la cadena. Si mal no recuerdo, ya hemos visto esto antes en otros sectores, pero en DeFi (finanzas descentralizadas), la velocidad del desastre es simplemente de otra dimensión.
El truco del «CarbonVote Token»: Dinero de Monopoly con precio de oro
Aquí es donde la historia se pone técnica, pero quédate conmigo porque es fascinante de una forma un poco macabra. ¿Cómo consigues sacar 285 millones de dólares de un protocolo que se supone que está blindado? Pues inventándote el dinero. Así de simple y así de complejo.
Los atacantes crearon un activo ficticio llamado «CarbonVote Token». Para que nos entendamos, es como si yo ahora mismo imprimo unos billetes en mi casa, les pongo el sello de «Moneda Oficial de la Calle Mayor de Cartagena» y convenzo a todo el mundo de que valen mil euros cada uno. Obviamente, nadie me creería. Pero los hackers son más listos: inyectaron unos pocos miles de dólares en liquidez y empezaron a hacer wash trading.
- ¿Qué es el wash trading? Básicamente, es comprarte y venderte a ti mismo el mismo activo una y otra vez para inflar el volumen y engañar a los algoritmos.
- El engaño a los oráculos: Los oráculos son los servicios que le dicen al protocolo cuánto vale cada cosa. Al ver tanto movimiento y un precio al alza, los oráculos de Drift se tragaron el anzuelo hasta el fondo.
- Colateral ficticio: De repente, Drift pensaba que esos tokens de «CarbonVote» valían cientos de millones de dólares. Los hackers los usaron como garantía (colateral) para pedir prestados activos reales y valiosos (como USDC o Solana).
Es una jugada maestra. Usas algo que no vale nada para llevarte algo que lo vale todo. Es como si vas al banco con un cromo de un futbolista repetido y consigues que te den un crédito para comprarte un chalé en Cabo de Palos porque has convencido al director de que ese cromo es una pieza única de museo. La diferencia es que aquí el «director» es un algoritmo que no tiene intuición ni malicia, solo datos.
La ingeniería social: El arte de engañar al que tiene la llave
Pero claro, para que todo esto funcionara, necesitaban desactivar las alarmas. Y aquí entra en juego la parte más «humana» y oscura del ataque. Drift Protocol, como muchas otras plataformas de este tipo, tiene un sistema de seguridad basado en un «Consejo de Seguridad» y carteras multifirma (multisig). Esto significa que para hacer cambios importantes, se necesitan varias firmas de personas autorizadas.
Los atacantes no hackearon las carteras; hackearon a las personas. Mediante técnicas de ingeniería social —probablemente correos de phishing muy sofisticados, ofertas de trabajo falsas o suplantación de identidad de otros desarrolladores— consiguieron que los firmantes autorizaran, sin saberlo, cambios críticos en el protocolo. La verdad es que da miedo pensar en lo fácil que es caer en estas trampas cuando el atacante tiene meses para estudiar tu comportamiento.
Lo más grave fue la eliminación del «timelock». Normalmente, cuando se va a hacer un cambio gordo en un protocolo, hay un tiempo de espera (un timelock) que permite a la comunidad reaccionar si algo huele mal. Los hackers consiguieron que se aprobara una migración que eliminaba este tiempo de espera. Fue como quitarle el seguro a una granada y dejarla en la mesa. En cuanto el Consejo de Seguridad firmó esa autorización camuflada, la última línea de defensa de Drift desapareció.
¿Por qué Corea del Norte?
Muchos se preguntarán por qué siempre se señala a los mismos. No es una manía persecutoria. Los analistas de TRM Labs y otras firmas de seguridad han rastreado el modus operandi y las huellas digitales del ataque. El uso de puentes (bridges) para mover fondos rápidamente a la red de Ethereum, el blanqueo a través de mezcladores específicos y la paciencia infinita en la fase de preparación son marcas registradas del Grupo Lazarus.
Para el régimen de Pyongyang, estos hackeos no son solo una travesura; son una fuente vital de divisas para financiar sus programas estatales. Mientras nosotros nos preocupamos por si el precio de la luz sube o baja, hay unidades enteras de militares informáticos cuyo único trabajo es encontrar la mínima fisura en protocolos como Drift para llevarse el botín. Y ojo, que no son aficionados. Tienen recursos, tiempo y una disciplina que ya quisiéramos para otras cosas.
El impacto en el ecosistema español y la confianza del usuario
A ver, aterricemos esto un poco a nuestra realidad. España no es ajena al mundo cripto. De hecho, somos uno de los países europeos con mayor adopción de activos digitales. Conozco a gente aquí en la Región de Murcia, desde chavales que están empezando a trastear con Solana hasta inversores más serios que tienen parte de sus ahorros en protocolos de DeFi. Un golpe de 285 millones de dólares no solo afecta a los que tenían dinero en Drift; afecta a la confianza de todo el sector.
Si un protocolo que se supone que es de los «grandes», de los que están auditados y tienen un Consejo de Seguridad, cae de esta manera en 12 minutos, ¿qué seguridad tiene el pequeño inversor? La sensación es un poco como cuando hubo aquellas crisis bancarias y la gente corría a sacar el dinero de los cajeros. En el mundo digital no hay cajeros físicos, pero el pánico es el mismo.
Además, este tipo de noticias son gasolina para los reguladores. No me extrañaría que, tras sucesos como este, veamos una presión todavía mayor desde Bruselas o desde la propia CNMV en España para ponerle puertas al campo. Y es una pena, porque la tecnología que hay detrás de Solana y de los futuros perpetuos es una maravilla técnica, pero estos incidentes le dan una fama de «Lejano Oeste» que cuesta mucho quitarse de encima.
¿Cómo se movió el dinero? La ruta del botín
Una vez que los hackers tuvieron los activos en su poder, no se quedaron sentados a esperar. Sabían que el tiempo corría en su contra. En cuestión de horas, la mayor parte de los fondos robados fueron enviados a Ethereum a través de puentes como deBridge y Wormhole. ¿Por qué a Ethereum? Porque es una red mucho más grande, con más liquidez y más herramientas para intentar «limpiar» el rastro del dinero.
Es curioso ver el rastro en la cadena de bloques (on-chain). Es como seguir las huellas de un ladrón en la nieve, pero una nieve que nunca se derrite. El problema es que, aunque sepamos a qué dirección ha ido el dinero, si esa dirección no está vinculada a una identidad real en un exchange regulado, es casi imposible recuperarlo. Es la paradoja de la transparencia de la blockchain: todos vemos cómo se llevan el dinero, pero nadie puede estirar el brazo para detenerlos.
Para que nos hagamos una idea de la magnitud, 285 millones de dólares es más de lo que facturan muchas empresas medianas de nuestra zona en varios años. Es una cifra mareante. Y pensar que todo empezó con un token falso y un par de firmas mal puestas… da que pensar sobre la fragilidad de nuestra infraestructura financiera moderna.
Lecciones aprendidas (o que deberíamos aprender)
Al final del día, lo de Drift nos deja varias lecciones que, aunque parezcan obvias, se nos suelen olvidar con la emoción de las ganancias rápidas:
- La seguridad no es solo código: Puedes tener el contrato inteligente más auditado del mundo, pero si tus procesos internos de gobernanza son vulnerables al engaño humano, tienes un problema.
- Cuidado con los oráculos: Depender de un solo flujo de datos para determinar el valor de un activo es un riesgo enorme. Los protocolos necesitan sistemas de verificación cruzada mucho más robustos.
- El «timelock» es sagrado: Nunca, bajo ninguna circunstancia, se debería permitir que cambios críticos en un protocolo se ejecuten de forma instantánea. Ese tiempo de espera es lo que separa un susto de una catástrofe.
- Higiene digital: Si eres un desarrollador o alguien con poder de firma en un proyecto importante, tienes que vivir en un estado de paranoia constante. Un simple clic en un PDF malicioso puede ser el fin de tu empresa.
¿Qué pasa ahora con Drift Protocol?
La situación para Drift es complicada, no nos vamos a engañar. Perder 285 millones de dólares es un golpe que hundiría a casi cualquier proyecto. Han confirmado el ataque y están trabajando con firmas de seguridad para intentar rastrear los fondos, pero siendo realistas, las posibilidades de recuperar el grueso del botín son escasas, especialmente si Corea del Norte está detrás.
Lo que estamos viendo ahora es un intento de control de daños. Intentarán compensar a los usuarios afectados, probablemente emitiendo nuevos tokens o buscando inversores externos que quieran rescatar el protocolo. Pero la mancha en la reputación es difícil de limpiar. En el mundo cripto, la liquidez es miedosa, y una vez que se asusta, tarda mucho en volver.
Es una lástima, porque Drift había conseguido posicionarse como una alternativa real y eficiente a los exchanges centralizados. Su tecnología de márgenes y su motor de liquidación eran punteros. Pero, como decían los antiguos, «por un clavo se perdió un reino». En este caso, por una firma y un token de mentira, se perdió una fortuna.
Reflexión final desde la orilla del Mediterráneo
A veces, escribiendo sobre estas cosas desde Cartagena, me doy cuenta de lo globalizado que está todo. Unos tipos en una oficina de Pyongyang lanzan un ataque contra un protocolo desarrollado quizás en Estados Unidos o Singapur, que corre sobre una red descentralizada, y eso acaba afectando al bolsillo de alguien que está tomándose una marinera en una terraza de la Plaza del Ayuntamiento. Es un mundo loco, la verdad.
La conclusión que saco de todo esto es que estamos viviendo una época de transición. Las DeFi son el futuro, de eso no tengo mucha duda, pero todavía estamos en la fase de los «inventores locos» y los piratas. Es como cuando Isaac Peral probó su submarino aquí mismo: era una tecnología revolucionaria (perdón, quería decir… transformadora), pero también era peligrosa y mucha gente no confiaba en ella. Con el tiempo, aprendimos a hacer submarinos seguros. Con las cripto pasará lo mismo, pero el camino va a estar lleno de baches como el de Drift.
Por ahora, lo único que podemos hacer es ser cautos. No pongas todos tus huevos en la misma cesta, desconfía de las ofertas que parecen demasiado buenas para ser ciertas y, sobre todo, mantente informado. Y si ves que alguien intenta venderte «CarbonVote Tokens», hazme el favor de salir corriendo en dirección contraria, preferiblemente hacia el puerto, que allí el aire es más puro y las estafas, al menos, se ven venir de lejos.
Vaya, que al final del día, la tecnología cambia, pero la picaresca es tan vieja como el mundo. Ojo con vuestras carteras digitales, que los piratas ya no llevan parche en el ojo ni pata de palo, ahora llevan teclados mecánicos y una paciencia infinita.
Deja una respuesta