Lo que inicialmente parecía ser un exploit repentino ha sido revelado como una operación de largo plazo altamente coordinada. Drift Protocol ha revelado que el hackeo de $270 millones fue el resultado de una campaña de infiltración de seis meses, supuestamente vinculada a actores estatales norcoreanos.
En lugar de explotar una vulnerabilidad simple, los atacantes construyeron confianza lentamente, haciéndose pasar por una empresa legítima de trading cuantitativo e integrándose dentro del ecosistema. Su enfoque fue más allá del engaño digital. Interactuaron directamente con contribuyentes, asistieron a conferencias de cripto y establecieron relaciones que parecían creíbles en todos los niveles.
Este no fue un ataque rápido y destructivo. Fue calculado, paciente y diseñado para eludir no solo las defensas técnicas sino también la confianza humana.
El Primer Contacto Comienza En Conferencias De Cripto
La operación supuestamente comenzó en el otoño de 2025, cuando los atacantes hicieron el primer contacto en una importante conferencia de cripto. En ese momento, no había señales de alerta inmediatas. El grupo se presentó como profesionales técnicamente competentes con antecedentes verificables.
Hablaban el lenguaje de DeFi con fluidez, demostrando una comprensión profunda de la infraestructura de Drift y los mecanismos de trading. Este nivel de experiencia les ayudó a integrarse sin problemas con contribuyentes y socios legítimos.
Poco después, la comunicación se trasladó a Telegram, donde las discusiones continuaron durante varios meses. Estas interacciones no fueron apresuradas ni sospechosas. En cambio, reflejaron el ritmo de una colaboración real, completa con discusiones técnicas, aportes estratégicos y participación continua.
Al mantener consistencia y credibilidad, los atacantes construyeron gradualmente confianza dentro de la comunidad.
Construyendo Confianza A Través Del Capital Y La Colaboración
Para enero de 2026, el grupo había llevado su participación aún más lejos. Incorporaron con éxito un Ecosistema tokenizado Vault y comenzaron a participar en sesiones de trabajo junto a los contribuyentes de Drift.
Crucialmente, también comprometieron capital real, depositando más de $1 millón de sus propios fondos en el protocolo. Este movimiento reforzó su legitimidad, señalando que tenían algo en juego.
Durante febrero y marzo, miembros del ecosistema Drift conocieron a estas personas en persona en múltiples países. Estas interacciones cara a cara añadieron otra capa de confianza, haciendo aún menos probable que sus intenciones fueran cuestionadas.
Para cuando se ejecutó el ataque, la relación entre los atacantes y la comunidad había sido establecida durante casi seis meses. Fue un nivel de infiltración raramente visto en exploits de DeFi.
La Ejecución Del Ataque Aprovechó Puntos De Entrada Sofisticados
Cuando finalmente ocurrió el compromiso, llegó a través de dos vectores altamente dirigidos.
El primero involucró una aplicación maliciosa TestFlight, presentada como un producto de wallet legítimo. Esto permitió a los atacantes obtener acceso a dispositivos de contribuyentes bajo la apariencia de probar nuevas herramientas.
El segundo vector explotó una vulnerabilidad conocida en entornos de desarrollo como VSCode y Cursor. Este fallo, señalado por la comunidad de seguridad meses antes, permitió la ejecución de código arbitrario simplemente abriendo un archivo.
Juntos, estos métodos permitieron a los atacantes comprometer dispositivos clave sin desencadenar sospechas inmediatas. Una vez dentro, pudieron acceder a flujos de trabajo sensibles y mecanismos de aprobación.
Esta etapa de la operación destaca un cambio crítico en las estrategias de ataque. En lugar de atacar Smart Contract directamente, los atacantes se están enfocando cada vez más en las capas humanas y de herramientas que los rodean.
Debilidades Multisig Expuestas En El Drenaje Final
Con acceso asegurado, los atacantes pasaron a la fase final: ejecución.
Obtuvieron dos aprobaciones multisig, que luego se utilizaron para autorizar transacciones. Notablemente, estas transacciones fueron prefirmadas y quedaron inactivas durante más de una semana, evitando la detección inmediata.
El 1 de abril, los atacantes actuaron. En menos de un minuto, aproximadamente $270 millones fueron drenados de las bóvedas de Drift.
La velocidad y precisión de la ejecución dejó poco margen para la intervención. Para cuando las transacciones fueron reconocidas, los fondos ya habían sido movidos.
Drift ha advertido desde entonces que este incidente expone debilidades fundamentales en los modelos de Seguridad de la cuenta basados en multisig. Aunque los sistemas multisig están diseñados para distribuir la confianza, siguen siendo vulnerables cuando los firmantes mismos están comprometidos.
Surgen Vínculos Con Actores Estatales Norcoreanos
Las investigaciones sobre el ataque han vinculado la operación a UNC4736, un grupo también conocido como AppleJeus o Citrine Sleet. Esta entidad está ampliamente asociada con operaciones cibernéticas norcoreanas y ha sido conectada a exploits de alto perfil anteriores, incluyendo el ataque a Radiant Capital.
Curiosamente, los individuos que interactuaron directamente con los contribuyentes de Drift no fueron identificados como nacionales norcoreanos. En cambio, parecen haber sido intermediarios de Terceros, equipados con identidades cuidadosamente construidas diseñadas para resistir el escrutinio.
Este enfoque por capas hace que la atribución sea más compleja mientras aumenta la efectividad de la operación. Al separar a los actores sobre el terreno de la entidad coordinadora, los atacantes pudieron mantener una legitimidad plausible durante toda la infiltración.
Una Llamada De Atención Para Los Modelos De Seguridad DeFi
El exploit de Drift está obligando a la industria a confrontar una realidad incómoda. Los modelos de seguridad tradicionales, enfocados en auditorías de código, vulnerabilidades de Smart Contract y protecciones multisig, pueden no ser suficientes para defenderse contra adversarios dispuestos a invertir tiempo, dinero y recursos humanos.
Si los atacantes pueden pasar seis meses construyendo relaciones, desplegar capital para ganar confianza y reunirse físicamente con equipos, la superficie de ataque se extiende mucho más allá del código.
Esto plantea una pregunta crítica para el ecosistema DeFi: ¿qué tipo de marco de seguridad puede detectar y prevenir este nivel de infiltración?
Por ahora, el incidente se mantiene como uno de los exploits más sofisticados impulsados por ingeniería social en la historia de las criptomonedas. Subraya la necesidad de un enfoque más holístico hacia la seguridad, uno que tenga en cuenta el comportamiento humano, los procesos operativos y las líneas cada vez más borrosas entre las interacciones en línea y fuera de línea.
A medida que los protocolos continúan creciendo y atrayendo más capital, las apuestas solo aumentarán. Y como muestra este caso, la próxima generación de ataques puede no provenir de wallets anónimas, sino de socios de confianza sentados al otro lado de la mesa.
Divulgación: Esto no es un consejo de trading o inversión. Siempre haga su propia investigación antes de comprar cualquier criptomoneda o invertir en cualquier servicio.
Síganos en Twitter @nulltxnews para mantenerse actualizado con las últimas noticias de Cripto para demo, NFT, IA, Ciberseguridad, Computación Distribuida y Metaverso!
Fuente: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
