Arturo TrenardExplotación de $280M en Drift Protocol: Abuso de “Durable Nonces” de Solana y Debate sobre la Inacción de Circle
Drift Protocol, un exchange descentralizado (DEX) construido sobre Solana, confirmó una explotación de aproximadamente 280 millones de dólares, calificando el ataque como una operación “altamente sofisticada”. El incidente explotó la función de “nonces duraderos” (durable nonces) de la blockchain de Solana para tomar control administrativo no autorizado. El caso ha generado fuertes críticas hacia Circle, el emisor del stablecoin USDC, ya que el explotador convirtió la mayor parte de los fondos robados a esta criptomoneda y los transfirió a Ethereum durante varias horas sin que fueran congelados.
El Ataque y el Mecanismo de Explotación
Cronología y Respuesta Inmediata
Drift Protocol detectó un ataque activo el miércoles, lo que llevó al equipo a suspender inmediatamente los depósitos y retiros en su plataforma. La empresa inició una coordinación con firmas de seguridad especializadas, puentes entre blockchains y otros exchanges centralizados. Finalmente, el jueves, Drift confirmó públicamente la explotación y su monto total estimado.
El Papel de los “Durable Nonces” de Solana
El vector del ataque no fue una vulnerabilidad común en un contrato inteligente, sino el abuso de una función legítima de Solana. Los “nonces duraderos” permiten a los usuarios crear transacciones pre-firmadas que evitan las ventanas de expiración estándar, siendo útil para operaciones como la firma offline o flujos de trabajo con múltiples firmas (multisig).
En este caso, los atacantes utilizaron transacciones pre-firmadas basadas en estos nonces para obtener acceso administrativo no autorizado y ejecutar rápidamente acciones que drenaron los fondos. Drift Protocol describió el método como “altamente sofisticado”, subrayando que la seguridad en DeFi debe considerar no solo los bugs de código, sino también los riesgos potenciales de todas las funcionalidades nativas de una blockchain.
El Rastro de los Fondos y la Polémica con Circle
Conversión a USDC y Puente a Ethereum
El robo incluyó inicialmente múltiples activos, pero el explotador procedió a convertir la gran mayoría, aproximadamente 270 millones de dólares, al stablecoin USDC. Los datos públicos de la blockchain muestran que estos fondos fueron posteriormente puenteados desde Solana a la red Ethereum. Con el capital robado, el atacante adquirió 130,262 Ether (ETH), valorados en aproximadamente 267 millones de dólares al momento de los hechos.
Las Críticas a la Inacción de Circle
La trayectoria de los fondos ha centrado las críticas en Circle. Investigadores de blockchain como ZachXBT señalaron que la empresa tuvo una ventana de al menos seis horas, mientras los fondos robados estaban en forma de USDC, para congelarlos utilizando su capacidad de inclusión en listas negras (blacklisting), y no lo hizo. Esto contrasta con casos anteriores donde wallets asociadas a hackeos fueron congeladas.
Circle podría congelarlos. Pero no están obligados a hacerlo.
Un usuario destacado en la red X, bajo el seudónimo Molu, resumió así el debate. La discusión también ha incluido referencias a cómo marcos regulatorios propuestos, como el “GENIUS Act” en los Estados Unidos, podrían impactar futuras decisiones en escenarios similares.
Contexto y Debate Recurrente
Un Debate No Resuelto en la Industria
Este incidente representa un nuevo capítulo en el debate recurrente dentro de la industria cripto sobre el grado de intervención que deben tener las plataformas centralizadas, como los emisores de stablecoins, durante ataques a protocolos descentralizados. Existe una tensión fundamental entre la capacidad técnica para congelar fondos y la obligación legal o los criterios éticos para ejercer esa capacidad.
Antecedentes Recientes de Circle
Las críticas a Circle por su manejo de fondos vinculados a explotaciones no son nuevas. En febrero de 2026, el mismo investigador ZachXBT cuestionó la respuesta de la empresa respecto a USDC vinculado a un hackeo del exchange Bybit. En esa ocasión, el CEO de Circle, Jeremy Allaire, declaró que la empresa actúa típicamente en respuesta a solicitudes directas de las fuerzas del orden. Este patrón de eventos alimenta la discusión sobre la consistencia y los criterios aplicados para las intervenciones.
Conclusión
La explotación de Drift Protocol combina un vector de ataque técnicamente complejo —el abuso de una función legítima como los durable nonces de Solana— con una consecuencia financiera y regulatoria de gran magnitud, centrada en el papel de Circle. El episodio refleja los desafíos en evolución de la seguridad en las finanzas descentralizadas (DeFi), donde los riesgos no se limitan a errores en contratos inteligentes, sino que abarcan un entendimiento profundo de todas las funcionalidades de una blockchain.
Además, el caso subraya la creciente presión sobre los actores centralizados dentro del ecosistema cripto para definir protocolos de acción claros, transparentes y consistentes ante robos a gran escala, todo ello en un contexto regulatorio global que se encuentra en constante cambio y escrutinio.