Las revelaciones sobre el ataque de $270 millones al protocolo Drift han llamado la atención no solo por la magnitud de la pérdida, sino también por la naturaleza poco convencional de los métodos utilizados. Según las declaraciones del equipo, la brecha no se originó por una vulnerabilidad en los contratos inteligentes ni por ninguna explotación técnica. En cambio, los atacantes pasaron casi seis meses construyendo confianza a través de reuniones cara a cara usando identidades falsas en todo el mundo, integrándose gradualmente dentro del equipo y la red del proyecto.
La ingeniería social a través de tácticas de inteligencia
Se ha alegado que operativos norcoreanos estuvieron detrás del ataque. A diferencia de los cibercriminales típicos que buscan debilidades basadas en el código, se dice que estas personas actuaron como si fueran miembros genuinos de la comunidad. Este incidente destaca una vulnerabilidad creciente en el espacio de las finanzas descentralizadas (DeFi), que en gran medida ha centrado sus salvaguardias en auditorías técnicas, revisiones de código y pruebas de penetración, mientras se deja expuesto a amenazas más sutiles arraigadas en dinámicas sociales. Alexander Urbelis, jefe de seguridad de la información en ENS Labs, argumenta que tales incidentes no deben ser simplemente etiquetados como “hackeos”, ya que han tomado la magnitud de operaciones de inteligencia encubiertas.
Urbelis enfatizó que los responsables de la brecha del protocolo Drift no se parecían a los hackers tradicionales. Más bien, al interactuar con los colaboradores de Drift en conferencias internacionales e invertir sumas significativas de dinero para ganarse la confianza, operaban de manera similar a agentes de campo profesionales. Esto muestra un cambio: el incidente de Drift se trata menos de encontrar por casualidad una falla técnica y más de una infiltración paciente y de la manipulación de círculos sociales, revelando un nuevo manual de ataques dirigidos.
“Corea del Norte ya no está centrando su atención en contratos desprotegidos, sino en personas desprotegidas. No se trata de encontrar fallas en los sistemas, sino de espionaje,” dijo Urbelis.
Investigaciones recientes ya han documentado casos de grupos norcoreanos haciéndose pasar por desarrolladores de software para infiltrarse en firmas cripto, pasando entrevistas exitosamente y uniéndose a equipos mientras ocultaban sus verdaderas identidades. El caso de Drift, sin embargo, muestra que estos esfuerzos se han coordinado aún más, evolucionando en campañas cuidadosamente orquestadas a largo plazo.
La confianza emerge como el eslabón más débil del sector
Los proyectos modernos de DeFi a menudo dependen de relaciones cercanas basadas en la confianza dentro de equipos pequeños y dinámicos. Cuando permisos y accesos críticos están concentrados en manos de una o pocas personas, incluso una sola brecha lograda a través de la ingeniería social puede poner en peligro todo el sistema. David Schwed, Director de Operaciones en SVRN y exlíder de seguridad en Robinhood y Galaxy, ve la brecha de Drift como una llamada de atención para la industria.
“Las amenazas de hoy ya no se limitan a la explotación de vulnerabilidades simples; ahora involucran identidades auténticas, planificación a largo plazo, y un elemento humano deliberado. Los equipos deben tratar no solo la tecnología, sino también los procesos y el personal, como componentes fundamentales de la seguridad,” comentó Schwed.
Como resultado, las plataformas están comenzando a reevaluar y mejorar sus prácticas de seguridad. La plataforma DeFi basada en Solana, Jupiter, por ejemplo, continúa con revisiones de código y desarrolla de manera abierta, pero cada vez más prioriza la gobernanza y la seguridad operativa más allá del software. Se están expandiendo controles como billeteras con múltiples firmas y bloqueos de tiempo, mientras los equipos invierten en entrenamiento interno de seguridad y estrategias avanzadas de monitoreo.
Kash Dhanda, Director de Operaciones en Jupiter, enfatizó que si bien múltiples capas de revisión y validación son ahora requisitos básicos, el verdadero campo de batalla se ha trasladado a la gobernanza, la participación de la comunidad y el riesgo de error humano. Dhanda señaló que el entrenamiento en seguridad operativa y la supervisión del personal clave se han vuelto más robustos, pero también advierte que la seguridad debe verse como un proceso continuo, y nunca como un trabajo que simplemente se termina o perfecciona.
David Gogel, Director de Operaciones de dYdX Labs, compartió esta opinión, subrayando que eventos como el de Drift prueban que las precauciones técnicas por sí solas son insuficientes. Gogel destacó que los propios usuarios de DeFi también tienen un papel que desempeñar: deben entender la arquitectura del sistema, los controles de múltiples firmas y el potencial de vulnerabilidades humanas.
Lucas Bruder, CEO de Jito Labs, observó que la debilidad central explotada en el ataque a Drift no estaba incrustada en el código, sino en el ámbito de la confianza interpersonal. Según Bruder, el área principal de exposición sigue siendo el acceso de los miembros del equipo y la seguridad de sus dispositivos. El sector debe preguntar no solo cómo funciona un sistema, sino qué tan rápidamente un solo punto de compromiso podría llevar a un colapso total de las defensas.
