
Una cartera temprana de Solana que no había realizado movimientos en más de cinco años fue vaciada de aproximadamente 180,900 SOL el 13 de julio de 2026, valuados en cerca de $14.2 millones al precio actual. Esta dirección se vincula con la distribución Génesis original de Solana, es decir, corresponde a un usuario que adquirió tokens en el inicio y mantuvo su posición a lo largo de todo el ciclo. El investigador on-chain ZachXBT, junto al analista conocido como Specter, detectó esta sustracción y publicó tanto la dirección afectada como las direcciones sospechosas.
Este tipo de incidente preocupa a cualquier defensor de la autocustodia, ya que la víctima siguió las mejores prácticas conocidas: compró temprano, mantuvo sus activos y conservó sus propias llaves. Sin embargo, la cartera fue vaciada y, cuando se detectó el incidente, la mayor parte del dinero ya había pasado por procesos de lavado.
Resumen del incidente al 15 de julio de 2026:
- Cartera afectada: Dirección Génesis de Solana, inactiva por más de cinco años
- Cantidad sustraída: ~180,900 SOL, alrededor de $14.2 millones
- Fecha del drenaje: alrededor del 13 de julio de 2026
- Ruta on-chain: un-staking forzado, consolidación, puente a Ethereum, Tornado Cash
- Reportado por: ZachXBT y Specter, direcciones publicadas
- Precio de SOL: $77.15, aumento del 2.80% en el día
El método exacto de compromiso de la llave sigue en investigación, pero el recorrido on-chain es claro y deja una lección relevante acerca de las llaves antiguas que muchos holders a largo plazo no consideran. A continuación se detalla cómo se movieron los fondos y qué implica esto para quienes mantienen carteras inactivas.
Qué ocurrió con la cartera Génesis de Solana
La cartera no era una cuenta minorista aleatoria. Estaba vinculada a la infraestructura abierta de Solana, lo que indica que recibió SOL en el lanzamiento de la red y mantuvo el saldo intacto por más de cinco años, perfil típico de un holder temprano. El 13 de julio de 2026, unos 180,900 SOL salieron de la cuenta en una operación coordinada, por un valor de unos $14.2 millones cuando SOL cotizaba cerca de $77.15.
El drenaje ocurrió junto con otros dos ataques cripto en las mismas 24 horas: una estafa mediante app falsa y un ataque a la cadena de suministro de software que introdujo código malicioso en una dependencia de desarrollo. Distintos métodos, un tema común: la superficie de ataque para los poseedores de cripto es amplia y no discrimina antigüedad. El drenaje de la ballena inactiva fue la mayor pérdida única, por lo que atrajo la atención de investigadores.
ZachXBT y Specter rastrearon el movimiento de los fondos y publicaron las direcciones para que la comunidad pudiera seguirlos en tiempo real. Hacer pública esta información no recupera el dinero, pero sí convierte un desastre privado en un caso documentado; la reconstrucción del recorrido es donde reside el aprendizaje principal.
Cómo el atacante retiró $14 millones de Solana
El primer paso sorprendió a muchos: una gran parte del SOL estaba en staking, por lo que no era líquido al instante. Un atacante que controla la cartera no puede transferir tokens en staking inmediatamente; debe hacer un unstake primero. El drenaje mostró un unstake forzado antes de mover los fondos, lo que dejó huella on-chain y un breve retraso, permitiendo a los investigadores detectar el movimiento temprano.
Una vez líquidos, los SOL se consolidaron en nuevas direcciones para romper el vínculo directo con la cartera original. Luego, los fondos se trasladaron de Solana a Ethereum, un paso intencionado. Los atacantes prefieren Ethereum por su infraestructura de mixing y lavado más avanzada, con mayor liquidez y herramientas establecidas para ocultar rastros. El uso de puentes entre cadenas es común en estas operaciones, lo que también ocurre en exploits de DeFi.
El paso final fue Tornado Cash, el protocolo de mixing de Ethereum que agrupa depósitos y permite retiros a direcciones limpias sin conexión on-chain evidente al origen. Parte del dinero se canalizó por Tornado Cash para desvincularlo de su historial. Entender esta secuencia de unstake, consolidación, puente y mixing ayuda a visualizar cómo se mueven fondos robados en la actualidad.
Por qué una cartera inactiva por cinco años seguía siendo vulnerable
Este aspecto es inquietante, y con razón: la inactividad no equivale a seguridad. Una llave privada no se fortalece con el tiempo ni expira. Es un instrumento al portador: quien la posee controla los fondos, sin opción de restablecimiento ni soporte. Una cartera inactiva cinco años no es más segura; ha estado más tiempo expuesta.
El error común es imaginar una cartera antigua como una bóveda sellada, cuando en realidad la llave ha estado almacenada en algún lugar todo ese tiempo. Las vías de filtración suelen ser simples: una frase semilla guardada digitalmente como foto, nota en la nube, entrada en gestor de contraseñas que luego fue vulnerado, o un dispositivo comprometido. Incluso una firma phishing antigua puede ser explotada tiempo después. No se requiere romper la criptografía; basta con que la llave se haya filtrado en algún momento del pasado.
Las llaves antiguas acumulan riesgo con el tiempo. Cada año que una frase semilla permanece en una copia digital es un año más de exposición a filtraciones de datos o dispositivos comprometidos. Probablemente la víctima no cometió errores recientes; el problema fue una copia de la llave almacenada inapropiadamente años atrás. La autocustodia no es el problema principal; la lección es que una llave es tan segura como su copia más débil.
Cómo proteger una cartera antigua
Las medidas de defensa son concretas. Un hardware wallet mantiene la llave privada fuera de dispositivos conectados a internet, firmando transacciones directamente en el dispositivo y bloqueando así la mayoría de los vectores de robo remoto. Mover fondos significativos a hardware wallet es la medida más eficaz para holders. Ledger y Trezor son los más habituales y cumplen la función de mantener la llave fuera de línea.
La regla sobre la frase semilla es igual de clara: nunca debe existir en formato digital (foto, captura, nota en la nube, email, texto plano en dispositivos conectados). Cada copia digital es un riesgo potencial; este caso ilustra lo que puede suceder años después. Es recomendable escribirla en papel o acero y almacenar físicamente, asumiendo que toda copia digital ya está comprometida.
La recomendación para quienes tengan carteras antiguas es migrar a una configuración segura con hardware wallet, pues la llave ha estado expuesta durante años fuera de auditoría posible. Generar una nueva llave en un dispositivo seguro, mover los fondos y jubilar la dirección antigua. La incomodidad de una transacción compensa el riesgo de dejar una llave expuesta desde ciclos anteriores del mercado. Si no dejarías $14 millones en una casa desatendida cinco años, la lógica aplica igual en la blockchain.
Preguntas frecuentes
¿Cómo fue drenada la cartera inactiva de Solana si no se movía hace años?
El método exacto está bajo investigación, pero los fondos fueron movidos por alguien con la llave privada, no por una falla de Solana. Lo más probable es que la llave o frase semilla se filtrara en algún momento pasado a través de copias digitales o dispositivos comprometidos. La inactividad no protege si la llave ya está expuesta.
¿Qué es el unstaking forzado y por qué fue importante aquí?
El SOL en staking no es líquido al instante, por lo que un atacante debe hacer unstake antes de mover los tokens. Ese unstake anormal dejó huella on-chain y un breve retraso, ayudando a los investigadores a rastrear el robo.
¿Por qué el atacante puenteó el SOL a Ethereum y usó Tornado Cash?
Los atacantes trasladan fondos robados a Ethereum por sus herramientas avanzadas de mixing/lavado. Tornado Cash es un protocolo que agrupa depósitos y rompe el vínculo on-chain entre origen y destino. El recorrido unstake, consolidar, puentear y mezclar es típico en estos casos.
¿Esto significa que la autocustodia es insegura?
No. El incidente no implica que la autocustodia sea insegura; la exposición de la llave fue la causa, no la autocustodia en sí. La combinación de hardware wallet y frase semilla jamás digitalizada protege contra los vectores más probables de este tipo de incidentes.
Conclusión
Un holder Génesis de Solana que siguió buenas prácticas perdió cerca de $14.2 millones porque la llave privada es un instrumento al portador sin expiración, y la inactividad no equivale a seguridad. La ruta típica de fondos robados hoy es: unstaking forzado, consolidación, puente a Ethereum y Tornado Cash. Reconocer este proceso aporta más valor que cualquier predicción de precio. La respuesta no es abandonar la autocustodia, sino asumir que una llave de varios años puede estar expuesta: migrar fondos relevantes a un hardware wallet y guardar la frase semilla en papel o acero, nunca digital. El monedero seguro no es el que no se mueve, sino el que se protege activamente.
Puedes seguir el precio en vivo de SOL en su página de CoinGecko y repasar los fundamentos de Bitcoin y otros activos antes de decidir la custodia en frío. La cartera inactiva no es la más segura, sino la más expuesta.
Este artículo es solo para fines informativos y no constituye asesoramiento financiero o de inversión. El comercio de criptomonedas implica riesgos sustanciales. Investigue siempre antes de tomar decisiones.
