Puntos clave de la noticia:
- Drift afirmó que el exploit de unos $280 millones se apoyó en los durable nonces de Solana para usar transacciones prefirmadas y obtener acceso administrativo no autorizado.
- Los activos robados fueron convertidos en gran parte a USDC y luego enviados a Ethereum, lo que desató críticas por la demora de Circle en congelarlos.
- El verdadero impacto ahora gira en torno a la responsabilidad, ya que el hack dejó expuestas tensiones entre protocolos descentralizados, puentes cross-chain y emisores centralizados de stablecoins.
El exploit de $280 millones contra Drift Protocol se está convirtiendo rápidamente en algo más que otro episodio de pérdidas en DeFi. Lo que comenzó como un ataque contra un exchange descentralizado construido sobre Solana se ha ampliado hasta convertirse en un debate sobre el diseño de transacciones, los tiempos de respuesta entre redes y los límites de la intervención centralizada cuando los fondos robados empiezan a moverse. Una brecha sofisticada ha dejado al descubierto varias fallas al mismo tiempo, después de que Drift explicara que el atacante abusó del sistema de durable nonces de Solana para obtener acceso administrativo no autorizado, vaciar activos y obligar al protocolo a suspender depósitos y retiros mientras coordinaba la respuesta con firmas de seguridad, puentes y exchanges.
Based on our investigation to date:
– This was not the result of a bug in Drift’s programs or smart contracts
– There is no evidence of compromised seed phrases
– The attack involved unauthorized or misrepresented transaction approvals obtained prior to execution, likely…— Drift (@DriftProtocol) April 2, 2026
Nonces, ventanas de congelamiento y el vacío de responsabilidad
Los hallazgos preliminares de Drift apuntan a los durable nonces de Solana, una función que permite que las transacciones eludan las ventanas normales de expiración y facilita ejecuciones prefirmadas, firmas offline y flujos multisig complejos. El protocolo sostuvo que el explotador utilizó transacciones prefirmadas basadas en nonces para ejecutar acciones maliciosas inmediatamente después de su envío, convirtiendo una función legítima de la red en la columna vertebral del ataque. Todo apunta a que el exploit convirtió en arma la sincronización y los permisos, más que un simple fallo de contrato inteligente, lo que ayuda a explicar por qué el incidente ha despertado tanta atención entre desarrolladores que observan cómo las funciones de ejecución diferida pueden amplificar riesgos cuando se combinan con otras debilidades.
La segunda controversia gira alrededor de la velocidad de reacción. El robo involucró varios activos, pero los flujos onchain mostraron después que el atacante convirtió la mayor parte de los fondos en USDC antes de moverlos a Ethereum mediante puentes. Las críticas se concentraron en las horas transcurridas entre esas conversiones y cualquier posible medida de bloqueo, bajo la idea de que Circle tuvo una ventana real para intervenir. La inquietud del mercado ahora se centra en si los controles centralizados sobre stablecoins son realmente confiables en momentos de crisis, especialmente después de que el investigador onchain ZachXBT y otros afirmaran que unos $270 millones fueron convertidos en USDC y permanecieron móviles durante al menos seis horas antes de abandonar por completo la red de Solana.
Eso deja a la industria en una posición incómoda. La capacidad de Circle para incluir billeteras en listas negras es bien conocida, pero algunos participantes remarcaron que esa facultad no implica necesariamente una obligación de actuar. Un observador del mercado sostuvo que Circle puede congelar fondos, pero no está forzada a hacerlo, mientras declaraciones del director ejecutivo Jeremy Allaire subrayaron que esos bloqueos siguen solicitudes de las fuerzas del orden. La gran pregunta sin respuesta es quién debe actuar primero cuando los activos robados todavía están en movimiento, porque el exploit de Drift convirtió una brecha de seguridad en una prueba de responsabilidad compartida entre protocolos DeFi, infraestructura cross-chain y emisores centralizados.
