Desastre de Solana de 285 millones de dólares: esto es lo que realmente sucedió

El 1 de abril de 2026, todo se desmoronó en Solana (SOL). Drift Protocol sufrió un exploit de $285 millones y, en cuestión de horas, su token se desplomó con fuerza. El impacto no se detuvo ahí; se extendió rápidamente a otros protocolos conectados.

Este desglose se basa en la información y el análisis de Coin Bureau con 2.73m susbcibers, que cubrió el cronograma completo del exploit y cómo se desarrolló entre bastidores.

Al principio, la gente asumió la causa habitual: un fallo de contrato inteligente o alguna falla técnica. Pero no era ese el caso. No se rompió ningún código. No se explotó ninguna vulnerabilidad.

Este ataque se construyó sobre personas, no sobre código.

La operación comenzó meses antes, en algún momento de finales de 2025. Empezó en silencio, con un grupo que se hacía pasar por una firma profesional de trading al acercarse a los colaboradores de Drift en conferencias. Se presentaron como creíbles, conocedores y profundamente familiarizados tanto con el trading como con la infraestructura.

Con el tiempo, construyeron relaciones. Se integraron en discusiones privadas, compartieron ideas y colaboraron en estrategias. Para reforzar su imagen, incluso depositaron más de $1 millón en la plataforma. Ese único movimiento hizo que parecieran serios y confiables.

Paso a paso, lograron acceso de insiders sin forzar su entrada en ningún momento.

• Cómo entraron los atacantes
• El error crítico que lo hizo todo posible
• Cómo se drenaron $285M en minutos
• Qué cambia esto para las criptomonedas

Cómo entraron los atacantes

Una vez que la confianza estuvo establecida, los atacantes introdujeron herramientas maliciosas disfrazadas como flujos de trabajo normales. Compartieron un repositorio de GitHub que parecía una integración estándar. Pero escondido dentro había código diseñado para comprometer silenciosamente el sistema de un desarrollador en el momento en que se abriera.

No hubo advertencias ni señales obvias. Todo parecía normal.

Sin embargo, un colaborador fue convencido para descargar una aplicación falsa con la impresión de que era para probar una nueva wallet. Eso les dio a los atacantes acceso más profundo a sistemas internos.

Ahora no solo estaban observando: estaban dentro de infraestructura crítica, incluidos los sistemas usados para aprobar transacciones.

_****Aquí está el precio de Bittensor (TAO) si captura un mercado de IA de $60B**

El error crítico que lo hizo todo posible

Incluso con ese nivel de acceso, los atacantes todavía necesitaban una forma de tomar el control total sin que los detuvieran. Esa oportunidad surgió de un error simple pero serio.

Drift había eliminado su timelock administrativo durante una actualización de rutina. Normalmente, esta función crea un retraso antes de ejecutar acciones importantes, dándole tiempo a los equipos para detectar cualquier cosa sospechosa.

Sin él, las transacciones podían pasar al instante.

Alrededor del mismo tiempo, los atacantes convencieron a miembros del equipo para que firmaran lo que parecía ser transacciones administrativas rutinarias. En realidad, esas firmas transfirieron el control total del protocolo.

No se activaron alarmas.

Cómo se drenaron $285M en minutos

Una vez que todo estuvo en su lugar, el ataque avanzó rápidamente. Los atacantes crearon un token falso y manipularon su precio para que pareciera que valía $1. Luego lo listaron como colateral válido dentro del protocolo.

En papel, parecía que tenían cientos de millones en activos.

Usando ese colateral falso, comenzaron a pedir prestados activos reales del sistema. Grandes cantidades de liquidez se retiraron en múltiples pools, incluyendo tokens importantes como Solana (SOL) y Bitcoin envuelto.

En minutos, más de $150 millones ya se habían drenado. El resto siguió poco después.

Los fondos robados se convirtieron en stablecoins y se movieron fuera de la red. Luego se transfirieron mediante puente a Ethereum y se distribuyeron entre muchas wallets, haciendo que la recuperación fuera extremadamente difícil.

Empresas de seguridad vinculando el ataque más tarde a un grupo norcoreano conocido por llevar a cabo operaciones similares. Esto no fue aleatorio ni apresurado. Se planeó durante meses y se ejecutó con precisión.

El mismo grupo ha estado asociado con exploits pasados, pero este mostró un nivel mayor de coordinación y de escala.

Qué cambia esto para las criptomonedas

Este incidente cambia el enfoque de la seguridad en cripto. Durante años, la principal preocupación han sido las vulnerabilidades de contratos inteligentes. Los proyectos invirtieron fuertemente en auditorías y revisiones de código, y Drift no fue una excepción.

Pero este ataque no atacó el código. Atacó la confianza.

Los desarrolladores, los colaboradores y los procesos internos se convirtieron en los puntos de entrada. Los atacantes no rompieron el sistema; se abrieron paso alrededor de él explotando la interacción humana.

Eso cambia cómo se debe abordar la seguridad a partir de ahora.

La pérdida de $285 millones es más que otro exploit más. Demuestra que incluso sistemas bien auditados pueden fallar si la capa humana queda expuesta.

DeFi ya no se trata solo de código seguro. Se trata de asegurar a las personas y los procesos detrás de ello. Y como muestra este caso, eso podría ser la parte más difícil de proteger.