Drift Protocol, un intercambio de derivados descentralizado que opera en Solana, suspendió todas las actividades el 1 de abril de 2026, tras descubrir un ataque sofisticado orquestado durante varios meses. Investigaciones forenses han señalado la participación de un grupo cibernético respaldado por el estado de Corea del Norte, marcando uno de los esfuerzos de infiltración más estructurados jamás vistos en las finanzas descentralizadas. Establecido en 2021, Drift es conocido por proporcionar operaciones con apalancamiento y soluciones innovadoras de liquidez, posicionándose como un actor clave en el ecosistema DeFi en expansión de Solana.
Un esfuerzo coordinado de ingeniería social
La brecha se remonta al otoño de 2025, cuando los colaboradores de Drift fueron contactados inicialmente en un importante evento internacional de criptomonedas. Los individuos se presentaron como representantes de una firma de trading cuantitativo que buscaba colaborar para una integración de bóveda institucional con Drift.
Los miembros del equipo informaron que los atacantes mantuvieron una presencia convincente y técnicamente competente, reuniéndose con los colaboradores en persona en una serie de conferencias de la industria en varios países durante un período de seis meses.
Desde el principio, se creó un grupo dedicado de Telegram para continuar las discusiones sobre las características del producto y las estrategias de integración. Durante los meses siguientes, el grupo participó consistentemente en sesiones de trabajo remoto y conversaciones detalladas sobre la infraestructura de trading.
En diciembre de 2025, los atacantes lograron integrar una Bóveda del Ecosistema dentro de Drift Protocol, depositando más de $1 millón en capital y profundizando el compromiso con el equipo central. Continuaron aportando ideas y recursos durante principios de 2026, aumentando su percepción de confiabilidad.
La revisión interna de Drift reveló más tarde que los individuos responsables habían construido identidades elaboradas, completas con antecedentes profesionales verificables, historiales laborales y actividad en redes sociales para reforzar su legitimidad.
Las discusiones sobre el producto continuaron hasta marzo de 2026, permitiendo a los atacantes construir credibilidad y un contacto rutinario con los colaboradores clave, lo que allanó el camino para el exploit.
Vectores de ataque técnico y atribución
Después de descubrir el exploit el 1 de abril, el equipo comenzó la colaboración con empresas de forense digital, incluidas Mandiant, para investigar los registros de dispositivos y huellas digitales. La revisión identificó tres vectores de ataque principales que permitieron la ejecución de código no autorizado en dispositivos de los colaboradores.
Un vector involucró código malicioso en un repositorio compartido bajo la apariencia de desarrollo del frontend de la bóveda, diseñado para ejecutar silenciosamente código arbitrario inmediatamente al abrir con editores como VSCode o Cursor. Otro vector se centró en persuadir a un colaborador para instalar una aplicación de TestFlight que afirmaba funcionar como un producto de billetera personalizado.
Las investigaciones revelaron que ninguna advertencia, permiso o indicador visible alertó a los usuarios sobre la presencia de malware durante estos ataques. Los perpetradores eliminaron todos los mensajes de Telegram y artefactos de software relacionados inmediatamente después de iniciar el exploit.
El equipo de respuesta a incidentes SEAL911 atribuyó la campaña, con una confianza media-alta, a UNC4736—un grupo cibernético afiliado al estado de Corea del Norte también rastreado bajo los nombres AppleJeus o Citrine Sleet, conocido por operaciones previas en DeFi y infraestructura de billeteras.
Han emergido conexiones entre esta campaña y incidentes pasados, como la brecha de Radiant Capital en octubre de 2024. Para ocultar su participación, los actores de amenazas supuestamente involucraron intermediarios de terceros para reuniones en persona con los colaboradores del protocolo, en lugar de enviar directamente a nacionales de Corea del Norte.
Drift Protocol ha instado a otros proyectos a reevaluar los controles de acceso, verificar minuciosamente todas las dependencias de software, y mantenerse vigilantes contra intentos de ingeniería social bien orquestados que apunten al sector de finanzas descentralizadas.
