Corea del Norte roba $285M de Drift Protocol usando una función de Solana diseñada para conveniencia
Atacantes vinculados a Corea del Norte explotaron los 'durable nonces' de Solana para firmar transacciones semanas antes de ejecutarlas y tomar control del multisig de Drift, drenando $285M en el mayor hackeo DeFi de 2026.
Drift Protocol, un exchange descentralizado construido sobre Solana, perdió $285 millones el 1 de abril después de que atacantes explotaran una funcionalidad legítima de Solana para tomar el control del consejo de seguridad del protocolo y vaciar sus bóvedas. La firma de análisis blockchain Elliptic vinculó el ataque a hackers patrocinados por el estado norcoreano, el mismo grupo responsable de múltiples robos cripto de nueve cifras en los últimos años.
El vector de ataque fueron los “durable nonces”, una función de Solana que permite a las wallets pre-autorizar transacciones para ser enviadas en un momento posterior. En uso normal, son útiles para hardware wallets y flujos de firma offline. Los atacantes los convirtieron en arma: pre-firmaron las transferencias administrativas semanas antes de ejecutarlas, eludiendo el mecanismo de aprobación multisig de Drift en cuestión de minutos cuando llegó el momento.
Los activos robados incluyen $155,6 millones en tokens JPL, $60,4 millones en USDC, $11,3 millones en CBBTC (bitcoin envuelto de Coinbase) y cantidades menores en FARTCOIN, Ether envuelto, WBTC, JUP, JITOSOL y más de una docena de otros tokens. Las distintas firmas dan cifras ligeramente diferentes — Elliptic dice $286M, los datos en cadena de CoinDesk apuntan a $270M, Fortune reporta $280M — probablemente por el deslizamiento de precios durante la venta masiva del atacante.
Drift suspendió inmediatamente los depósitos y retiros al detectar la brecha, y emitió un mensaje en cadena a la dirección Solana del atacante intentando abrir una negociación de sombrero blanco. Hasta el momento de publicación, no hubo respuesta y no se han devuelto fondos.
Este es el mayor exploit individual en DeFi de 2026 y expone una debilidad estructural en cómo los protocolos sobre Solana gestionan la gobernanza multisig. Los durable nonces no son un bug — son funcionalidad documentada de Solana. El ataque funcionó porque el modelo de seguridad de Drift no contemplaba transacciones pre-firmadas como vector de amenaza. El protocolo confiaba en que solo partes autorizadas usaran el sistema de nonces; el atacante encontró la manera de obtener esa autorización con antelación.
El incidente se suma a un patrón sostenido: unidades cibernéticas de Corea del Norte usan el robo cripto para financiar al estado norcoreano. Chainalysis estimó que hackers norcoreanos robaron más de $1.300 millones solo en 2025. El hackeo a Drift eleva significativamente los totales de 2026.
Para equipos que construyen sobre Solana: revisen la arquitectura multisig contra riesgos de transacciones pre-firmadas. Los ataques basados en nonces ya no son teóricos. Verifiquen que las claves del Security Council se rotan regularmente y que no existan durable nonces pendientes de firmantes anteriores.
Los depósitos y retiros siguen suspendidos mientras el equipo trabaja con investigadores blockchain. El token de gobernanza del protocolo cayó más del 30% en las horas posteriores al anuncio.