El hack de Drift Protocol rastreado al grupo responsable de la explotación de Bybit - Coinfea

El reciente exploit del Protocolo Drift se ha vinculado a hackers norcoreanos, posiblemente el mismo grupo que explotó Bybit por más de $1.4B. El exploit afectó múltiples aplicaciones DeFi en el ecosistema de Solana. El análisis del Protocolo Drift muestra que el exploit posiblemente fue realizado por el Grupo Lazarus de Corea del Norte, los mismos actores de amenaza detrás de varios otros ataques.

Según el análisis de DivergSec y los informes de Elliptic y TRM Labs, están surgiendo nueva información sobre el exploit. El atacante no solo comprometió una vez el multisig del Protocolo Drift. Drift migró algunas de sus carteras multisig a nuevos miembros del Security Council. En el transcurso de tres días, el atacante comprometió el nuevo multisig y se preparó con transacciones pre-firmadas el 31 de marzo, un día antes del ataque.

Incidente del Protocolo Drift vinculado a hackers norcoreanos

El uso específico de las carteras apunta al modus operandi del Grupo Lazarus, con una cartera financiada primero por Tornado Cash, un puenteo multi-cadena rápido hacia ETH y la consolidación de los fondos para mezclarlos. Con base en la investigación de Elliptic, Lazarus ha realizado 18 ataques en el año hasta la fecha. Los investigadores cooperarán con el equipo del Protocolo Drift para rastrear los fondos. El Protocolo Drift anunció que se ha descubierto información crítica sobre las partes involucradas.

Además, el equipo envió mensajes a las cuatro carteras identificadas que actualmente mantienen los ingresos del hack. El mensaje sugería que el Protocolo Drift pudo haber conocido la identidad de los hackers. La comunidad especula sobre un posible acceso interno o infiltración del proyecto. A pesar de ello, el Protocolo Drift aún fue criticado por tener un timelock de cero en cambios a nivel de protocolo, lo que permitió al explotador drenar la liquidez de inmediato.

El Protocolo Drift mantiene $232M en valor bloqueado, por debajo de más de $550M. Varios protocolos que usaron Drift para generar rendimiento han tenido sus fondos robados o congelados total o parcialmente. SOL se recuperó por encima de $80 después de un breve descenso en respuesta al hack. El hack afectó a Reflect Money en su rendimiento de farming de USD+. DeFi Carrot perdió el 50% de su TVL en Drift, y los tokens CRT también se vieron afectados. Ranger Finance quedó expuesto a través de rUSD. PiggybankFi perdió $106K de depósitos hacia el Protocolo Drift.

Project0 pausó préstamos contra las bóvedas de Drift. Otros proyectos, incluyendo Pyra, que perdió todos sus fondos, y XPlace, que principalmente usó Drift para generar rendimiento. Elemental DeFi solo estuvo expuesto a través de una bóveda de USDC. Algunos de los protocolos solo tenían sus fondos retenidos hasta que se mejore la seguridad. Hasta ahora, once proyectos se han visto afectados, sin contar las repercusiones generales sobre el sentimiento y la pérdida de confianza en el préstamo DeFi.

En 2026, hasta la fecha, un total de 35 protocolos DeFi han sido explotados, con una tendencia en aceleración y ataques más organizados. Se extrajeron alrededor de $453M desde DeFi, lo que muestra que sigue siendo un sector de alto riesgo. Los hacks socavan el relato de que DeFi sería una forma adecuada de obtener rendimiento con riesgo mínimo.