El exchange descentralizado (DEX) Drift Protocol, basado en Solana, declaró el domingo que el ataque que drenó aproximadamente 285 millones de dólares de la plataforma fue una operación de inteligencia estructurada de seis meses por parte de un grupo de amenazas afiliado al estado norcoreano.
Los atacantes utilizaron identidades profesionales falsas, reuniones presenciales en conferencias y herramientas de desarrollo maliciosas para comprometer a los colaboradores antes de ejecutar el drenaje, dijo el protocolo en una actualización detallada del incidente.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
"Los equipos cripto se enfrentan ahora a adversarios que operan más como unidades de inteligencia que como hackers, y la mayoría de las organizaciones no están estructuralmente preparadas para ese nivel de amenaza", dijo Michael Pearl, vicepresidente de estrategia de la firma de seguridad blockchain Cyvers, a Decrypt.
Drift dijo que el grupo se acercó por primera vez a los colaboradores en una importante conferencia de criptomonedas el otoño pasado, presentándose como una firma de trading cuantitativo que buscaba integrarse con el protocolo.
Durante meses, el grupo generó confianza a través de reuniones presenciales, coordinación por Telegram, incorporó una Bóveda del Ecosistema en Drift, y realizó un depósito de 1 millón de dólares de capital propio en la bóveda, solo para desaparecer, con los chats y el malware "completamente eliminados" cuando el exploit se activó.
El DEX dijo que la intrusión pudo haber involucrado un repositorio de código malicioso, una aplicación TestFlight falsa y una vulnerabilidad de VSCode/Cursor que permitió la ejecución silenciosa de código sin interacción del usuario.
Drift atribuyó el ataque con "confianza media-alta" a UNC4736, también conocido como AppleJeus o Citrine Sleet, el mismo grupo afiliado al estado norcoreano que la empresa de ciberseguridad Mandiant vinculó al hack de Radiant Capital en 2024.
Drift dijo que los individuos que se reunieron con los colaboradores en persona no eran ciudadanos norcoreanos, señalando que los actores vinculados a la RPDC a menudo recurren a intermediarios de terceros para "interacciones cara a cara".
Los flujos de fondos en cadena y la superposición de personas apuntan a actores vinculados a la RPDC, según los respondedores a incidentes SEAL 911, aunque Mandiant aún no ha confirmado la atribución a la espera de un análisis forense, señaló la plataforma.
El investigador de seguridad @tayvano_, uno de los expertos a quienes Drift agradeció su ayuda en la identificación de los actores maliciosos, sugirió que la exposición se extiende mucho más allá de este incidente.
En un tuit, el experto enumeró docenas de protocolos DeFi, alegando que "trabajadores de TI de la RPDC construyeron los protocolos que conocen y aman, desde el 'verano DeFi' hasta ahora".
"Drift y Bybit destacan el mismo patrón: los firmantes no fueron directamente comprometidos a nivel de protocolo, fueron engañados para aprobar transacciones maliciosas", señaló Pearl. "El problema central no es el número de firmantes, sino la falta de comprensión de la intención de la transacción".
Dijo que las carteras multifirma, si bien son una mejora respecto al control de una sola clave, ahora crean una falsa sensación de seguridad, introduciendo "una paradoja" donde la responsabilidad compartida reduce el escrutinio entre los firmantes.
"La seguridad debe pasar a la validación previa a la transacción a nivel de blockchain, donde las transacciones se simulan y verifican de forma independiente antes de la ejecución", dijo Pearl, añadiendo que una vez que los atacantes controlan lo que ven los usuarios, la única defensa efectiva es validar lo que una transacción realmente hace, independientemente de la interfaz.
Sobre las herramientas de desarrollo como superficie de ataque, Lavid dijo que la suposición tiene que cambiar desde cero.
"Hay que asumir que el punto final está comprometido", dijo a Decrypt, señalando los IDEs, repositorios de código, aplicaciones móviles y entornos de firmantes como puntos de entrada cada vez más comunes.
"Si estas herramientas fundamentales son vulnerables, cualquier cosa que se muestre al usuario —incluidas las transacciones— puede ser manipulada", dijo el experto, señalando que esto "rompe fundamentalmente las suposiciones de seguridad tradicionales", dejando a los equipos incapaces de confiar en "la interfaz, el dispositivo o incluso el flujo de firma".
