Han surgido nuevas revelaciones sobre el ciberataque de alto perfil a Drift Protocol, que resultó en pérdidas estimadas de $270 millones. Según una actualización del equipo de desarrollo del protocolo, un grupo con supuestos vínculos al estado norcoreano orquestó el plan durante un extenso período de seis meses, utilizando tácticas sofisticadas de infiltración para eludir las medidas de seguridad.
Preparación e infiltración: estableciendo confianza dentro del ecosistema
El primer contacto se informó que ocurrió en una importante conferencia de criptomonedas en el otoño de 2025, donde los atacantes se disfrazaron como representantes de una firma de comercio cuantitativo. Poseyendo tanto experiencia técnica como antecedentes profesionales aparentemente verificables, el grupo ganó metódicamente la confianza de la red Drift al demostrar un entendimiento detallado de las operaciones del protocolo.
Vulnerabilidades explotadas y mecanismos de ataque
El grupo amplió su participación a partir de octubre, iniciando contacto directo con la comunidad de Drift a través de Telegram. Presentando estrategias de comercio comunes en el sector DeFi, establecieron legitimidad entre las partes interesadas clave. Entre diciembre de 2025 y enero de 2026, los atacantes depositaron más de $1 millón de sus propios fondos en el protocolo, reforzando aún más su presencia. Durante este período, mantuvieron interacciones regulares cara a cara con miembros del equipo central, construyendo una relación que les permitiría un acceso más profundo a la organización.
En febrero y marzo, la relación entre los atacantes y los contribuyentes de Drift se fortaleció a medida que se reunieron en persona en varios eventos de la industria alrededor del mundo. Estas interacciones solidificaron aún más una atmósfera de confianza, que resultó fundamental para facilitar la posterior intrusión.
En el lado técnico, la investigación descubrió dos vectores principales de ataque. Uno de los miembros del grupo introdujo una aplicación de billetera en el ecosistema a través de la plataforma TestFlight de Apple, eludiendo exitosamente las verificaciones de seguridad establecidas. Esto permitió que la aplicación evadiera el escrutinio al parecer una herramienta legítima.
Otra vulnerabilidad significativa residía en el uso de editores de código populares: VSCode y Cursor, los cuales se convirtieron en un vector de explotación. Como destacó la comunidad de seguridad desde finales de 2025, estos editores contenían una falla que permitía a los atacantes tomar control de los dispositivos simplemente haciendo que las víctimas abrieran un archivo o carpeta maliciosos, desencadenando la ejecución de código dañino sin interacción adicional.
Utilizando estos métodos, el grupo logró eludir las medidas de seguridad y obtener privilegios de multifirma (multisig), otorgándoles el acceso necesario para ejecutar el ataque. Las transacciones maliciosas, preparadas con anticipación, quedaron en espera por más de una semana antes de ser ejecutadas el 1 de abril, resultando en el retiro rápido de fondos del protocolo en cuestión de minutos.
Las evidencias apuntan cada vez más a la participación de UNC4736, un grupo que se cree opera en nombre de Corea del Norte. También rastreado bajo los nombres AppleJeus y Citrine Sleet, este grupo ha sido vinculado recientemente a varios ciberataques similares dirigidos al sector de las criptomonedas.
Investigaciones posteriores encontraron que los individuos que aparecían en las conferencias probablemente no eran ciudadanos norcoreanos. Se cree que identidades avanzadas falsificadas y redes profesionales se emplean como proxies para infiltrarse en tales organizaciones, haciendo que la atribución directa sea más compleja en estos tipos de operaciones.
El equipo de Drift ha llamado a otros protocolos en el sector a auditar rigurosamente los puntos de acceso de multisig y la seguridad de los dispositivos. La brecha ha renovado discusiones más amplias sobre las limitaciones de la gestión de multisig como modelo de seguridad en las finanzas descentralizadas, destacando la sofisticación en evolución de los actores de amenazas en el espacio.
