El cofundador de Solana, Anatoly Yakovenko, ha calificado el reciente hackeo del Drift Protocol como "aterrador" después de que se revelara que fue el resultado de un sofisticado ataque de ingeniería social llevado a cabo por hackers norcoreanos.
Según informó U.Today, Drift Protocol fue recientemente drenado de $270 millones, lo que lo convierte en el mayor hackeo de Solana hasta la fecha dentro del ecosistema. El protocolo se vio obligado a detener todos los depósitos y retiros, advirtiendo explícitamente a los usuarios que el incidente no era una broma del Día de los Inocentes.
El informe, que fue compartido recientemente por Drift Protocol, ha revelado que los malos actores detrás del histórico hackeo acecharon físicamente y manipularon socialmente a los desarrolladores en la vida real. Esto requirió una paciencia y recursos alarmantes.
Se sospecha fuertemente que la operación es obra de un grupo de amenazas norcoreano afiliado al estado.
A partir de finales de 2025, intermediarios de terceros (que no eran ciudadanos norcoreanos) se acercaron físicamente a los colaboradores de Drift en importantes conferencias de criptomonedas. Los atacantes, que se jactaban de tener antecedentes profesionales verificables y fluidez técnica, se hicieron pasar por una firma de trading cuantitativo que buscaba integrarse con el protocolo.
La firma de trading falsa incorporó una Bóveda del Ecosistema en Drift entre diciembre de 2025 y enero de 2026, y depositó más de $1 millón de su propio capital.
Los atacantes lograron mantener la ilusión durante medio año. Trabajaron en estrecha colaboración con los colaboradores de Drift a través de múltiples sesiones de trabajo y se reunieron con ellos cara a cara en varias conferencias internacionales durante febrero y marzo de 2026.
Para abril, los atacantes habían establecido con éxito una relación comercial de confianza. Los colaboradores de Drift no sospecharon de juego sucio cuando el grupo compartió enlaces a proyectos que afirmaban estar desarrollando.
Un colaborador clonó un repositorio de código compartido por los atacantes. Este repositorio probablemente contenía una vulnerabilidad conocida que afectaba a los editores de texto VSCode y Cursor. Un segundo colaborador fue convencido de descargar una aplicación falsa de TestFlight.
Los atacantes borraron todos sus chats de Telegram y eliminaron el software malicioso después de la explotación exitosa.
