Drift Protocol afirmó que el ataque del 1 de abril a su plataforma fue el resultado de meses de planificación e ingeniería social.
El exchange descentralizado vinculó el caso a un grupo que dedicó tiempo a generar confianza con los colaboradores antes de enviar herramientas y enlaces maliciosos. Estimaciones externas sitúan la pérdida en unos 280 millones de dólares.
Drift Protocol dijo que su revisión inicial encontró una campaña larga y organizada contra la plataforma. El equipo afirmó que los atacantes mostraron “respaldo organizacional, recursos y meses de preparación deliberada” durante la operación.
El exchange dijo que el contacto comenzó alrededor de octubre de 2025. Según Drift, personas que se hacían pasar por miembros de una firma de trading cuantitativo se acercaron a colaboradores en una importante conferencia cripto y afirmaron que querían integrarse con el protocolo.
Drift dijo que el grupo siguió reuniéndose con colaboradores en varios eventos de la industria durante los siguientes seis meses. El equipo afirmó que las personas involucradas eran técnicamente hábiles, conocían el funcionamiento de Drift y parecían tener antecedentes profesionales reales.
Ese contacto constante ayudó al grupo a ganarse la confianza. Drift dijo que los atacantes utilizaron posteriormente enlaces y herramientas maliciosas compartidas con los colaboradores para comprometer dispositivos, llevar a cabo el exploit y eliminar rastros de su actividad después de la intrusión.
Además, Drift afirmó tener una “confianza media-alta” en que los mismos actores detrás del hackeo de Radiant Capital de octubre de 2024 llevaron a cabo este exploit. Ese ataque anterior causó pérdidas de unos 58 millones de dólares y también implicó malware utilizado para obtener acceso a sistemas internos.
Radiant Capital dijo en diciembre de 2024 que un hacker alineado con Corea del Norte se hizo pasar por un antiguo contratista y envió malware a través de Telegram. Radiant dijo que “este archivo ZIP” se difundió posteriormente entre los desarrolladores para obtener comentarios y abrió el camino para la intrusión.
Drift dijo que las personas que se reunieron con los colaboradores en persona “no eran ciudadanos norcoreanos”. Al mismo tiempo, el equipo afirmó que los actores de amenazas vinculados a la RPDC a menudo utilizan intermediarios de terceros para el contacto cara a cara y la construcción de relaciones.
El exchange dijo que ahora está trabajando con las fuerzas del orden y otros participantes de la industria cripto para elaborar un registro completo del ataque del 1 de abril.
El caso también ha añadido una nueva advertencia para las empresas de criptomonedas, ya que las conferencias y reuniones presenciales pueden dar a los grupos de amenazas la oportunidad de estudiar a los equipos, generar confianza y preparar ataques posteriores.
