Drift Protocol publicó el sábado su relato más detallado hasta la fecha sobre el exploit del 1 de abril que drenó aproximadamente 280 millones de dólares del intercambio de perpetuos basado en Solana, describiendo lo que el equipo denominó una "operación de inteligencia estructurada" que tardó aproximadamente seis meses en gestarse.
Según la actualización, el contacto inicial se produjo en o alrededor del otoño de 2025, cuando individuos que se presentaban como una firma de trading cuantitativo se acercaron a colaboradores de Drift en una importante conferencia de criptomonedas y expresaron interés en integrarse en el protocolo. Se estableció un grupo de Telegram en esa primera reunión, y los mismos individuos continuaron reuniéndose cara a cara con colaboradores de Drift en eventos de la industria en múltiples países durante los meses siguientes.
Entre diciembre de 2025 y enero de 2026, el grupo incorporó una Bóveda del Ecosistema en Drift, completando el formulario de estrategia estándar, participando en múltiples sesiones de trabajo con colaboradores y depositando más de 1 millón de dólares de su propio capital. Drift afirmó que el comportamiento era consistente con la forma en que las firmas de trading legítimas suelen integrarse con el protocolo.
La revisión forense de los dispositivos afectados y los historiales de comunicación después del exploit señalaron esa relación como la probable ruta de intrusión. Drift dijo que los chats de Telegram del grupo y el software malicioso asociado fueron eliminados en el momento en que se lanzó el ataque.
La evaluación preliminar de Drift identifica dos posibles métodos de compromiso. Un colaborador pudo haber sido infectado después de clonar un repositorio de código que el grupo compartió bajo el pretexto de desplegar un frontend para su bóveda. Un segundo colaborador fue inducido a instalar una versión beta de una aplicación a través de la compilación TestFlight de Apple que el grupo describió como su producto de billetera.
Para la ruta del repositorio, Drift señaló una vulnerabilidad en VS Code y Cursor sobre la cual los investigadores de seguridad habían estado advirtiendo públicamente entre diciembre de 2025 y febrero de 2026, en la que simplemente abrir un archivo, carpeta o repositorio en el editor podía ejecutar silenciosamente código arbitrario sin que el usuario lo solicitara.
El exploit en sí, como informó previamente The Block, no involucró un error de contrato inteligente. Drift lo ha descrito como un "ataque novedoso que involucra nonces duraderos", una primitiva legítima de Solana que permite que las transacciones sean pre-firmadas y ejecutadas más tarde. El atacante obtuvo aprobaciones multifirma por adelantado, probablemente a través de ingeniería social o tergiversación de transacciones, luego utilizó las autorizaciones pre-firmadas para apoderarse de los poderes administrativos del Consejo de Seguridad y drenar el protocolo en minutos.
Drift dijo que, con el apoyo del equipo SEAL 911, evalúa con "confianza media-alta" que la operación fue llevada a cabo por los mismos actores norcoreanos patrocinados por el estado responsables del hackeo de 50 millones de dólares a Radiant Capital en octubre de 2024, que Mandiant atribuyó a UNC4736, también conocido como AppleJeus o Citrine Sleet, un grupo de hackers con vínculos con la Oficina General de Reconocimiento del país.
El vínculo se basa tanto en superposiciones en cadena como operativas, según Drift. Los flujos de fondos utilizados para organizar y probar la operación Drift se remontan a los atacantes de Radiant, y las personas desplegadas en la campaña tienen superposiciones identificables con actividades conocidas vinculadas a la RPDC, dijo Drift.
Notablemente, Drift enfatizó que los individuos que aparecieron en las conferencias en persona no eran ciudadanos norcoreanos. Se sabe que los actores de amenazas de la RPDC que operan a este nivel despliegan intermediarios de terceros para gestionar el trabajo de construcción de relaciones, dijo el protocolo, y los perfiles utilizados en esta operación tenían historiales laborales completos, credenciales públicas y redes profesionales diseñadas para resistir la debida diligencia de la contraparte.
Mandiant, a quien Drift ha contratado para dirigir la investigación forense, no ha atribuido formalmente el exploit de Drift. Esa determinación está pendiente de la finalización de la investigación forense de los dispositivos.
Drift dijo que todas las funciones restantes del protocolo han sido congeladas, las billeteras comprometidas han sido eliminadas de la multifirma y las direcciones del atacante han sido marcadas con intercambios y operadores de puentes. El investigador on-chain ZachXBT ha criticado por separado al emisor de stablecoin Circle por lo que llamó una respuesta lenta, alegando que el atacante transfirió aproximadamente 232 millones de USDC de Solana a Ethereum a través de CCTP durante seis horas sin que se congelara ningún fondo.
El exploit de Drift es el hackeo DeFi más grande de 2026 hasta la fecha y se clasifica como el segundo incidente de seguridad más grande en la historia de Solana, detrás del ataque al puente Wormhole de 325 millones de dólares en 2022.
Drift agradeció a los investigadores independientes y miembros de SEAL 911 Taylor Monahan, tanuki42_, pcaversaccio y Nick Bax por su trabajo en la identificación de los actores, e instó a cualquier equipo que crea haber sido objetivo del mismo grupo a contactar directamente con SEAL 911.
"En serio, este es el ataque más elaborado y dirigido que creo haber visto perpetrado por la RPDC en el espacio cripto", escribió tanuki42_ en X, además de advertir que otros protocolos también podrían haber sido objetivo. "Reclutar a múltiples facilitadores y luego hacer que se dirijan a personas específicas en la vida real en los principales eventos de criptomonedas es una táctica descabellada".
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigaciones y datos. A partir de noviembre de 2023, Foresight Ventures es un inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas en el espacio cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block sigue operando de forma independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.
© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni está destinado a ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
