Drift Protocol, un intercambio de derivados descentralizado construido en la blockchain de Solana, ha revelado que su plataforma fue comprometida en abril de 2026 a través de una larga infiltración atribuida a un grupo de hackers vinculado a Corea del Norte. El detallado informe del equipo describe cómo los atacantes se hicieron pasar por traders cuantitativos legítimos para ganar confianza y, gradualmente, acceder a los sistemas internos antes de ejecutar el exploit de 285 millones de dólares.
La infiltración y preparación
La operación comenzó en una importante conferencia de la industria cripto en el otoño de 2025, donde los colaboradores de Drift se encontraron por primera vez con un grupo que se autodenominaba una firma de trading cuantitativo. Durante seis meses, estos individuos se establecieron como socios técnicos creíbles, participando en extensas conversaciones sobre estrategias de trading y desarrollo de bóvedas a través de Telegram y reuniones presenciales en varios países.
Para diciembre de 2025, el grupo había integrado una Bóveda del Ecosistema a la plataforma de Drift y depositado más de 1 millón de dólares, profundizando aún más su integración al participar en múltiples sesiones de trabajo. Las relaciones entre los colaboradores de Drift y el grupo se fortalecieron, haciendo que la infiltración fuera cada vez más difícil de detectar.
A medida que los atacantes ganaron acceso e influencia, se posicionaron para explotar los sistemas de Drift de manera efectiva. El 1 de abril de 2026, las comunicaciones con el grupo cesaron abruptamente, sus cuentas de Telegram fueron eliminadas y se lanzó un sofisticado ataque, drenando 285 millones de dólares del protocolo.
Drift Protocol es un intercambio de derivados descentralizado de código abierto que busca ofrecer trading de bajo costo y productos DeFi innovadores a los usuarios del ecosistema Solana. Desde su creación, ha obtenido reconocimiento por el compromiso activo de la comunidad y el desarrollo técnico dentro de DeFi.
Ataque técnico y hallazgos forenses
Los investigadores identificaron múltiples puntos de compromiso. Un vector de ataque se rastreó a un repositorio de código compartido para el despliegue del frontend de la bóveda, que al ser clonado, pudo haber aprovechado una vulnerabilidad en los editores VSCode y Cursor señalada dentro de la comunidad de ciberseguridad desde finales de 2025. Esta vulnerabilidad permitía la ejecución arbitraria de código sin avisos al usuario.
Otro punto de entrada involucró a un colaborador de Drift siendo persuadido para instalar una aplicación de TestFlight descrita como una billetera cripto, lo que pudo haber abierto más acceso a los atacantes. El análisis del hardware comprometido continúa mientras Drift sigue con su investigación.
El trabajo de atribución, apoyado por la firma de seguridad Mandiant y el equipo SEALS 911, vincula a los perpetradores con una confianza media-alta al grupo UNC4736, afiliado al estado norcoreano y conocido anteriormente por el hackeo de Radiant Capital en octubre de 2024. Los movimientos de fondos y patrones operativos mostraron una superposición sustancial con campañas anteriores atribuidas a los actores cibernéticos norcoreanos, aunque los individuos involucrados en persona no eran ciudadanos norcoreanos sino probablemente intermediarios de terceros.
Mandiant no ha emitido una atribución pública formal respecto al exploit del Drift Protocol. El trabajo forense continúa y se esperan más actualizaciones a medida que surgen más pruebas.
Respuesta de la industria y vigilancia intensificada
En respuesta a la violación, Drift Protocol inmediatamente congeló todas las funciones restantes de la plataforma, eliminó las billeteras comprometidas de su estructura multisig y señaló cuentas de atacantes con intercambios y operadores de puentes. La colaboración con Mandiant y SEALS 911 sigue en curso para mejorar los esfuerzos de investigación y prevenir riesgos adicionales.
Varios investigadores de seguridad independientes, incluyendo a @armaniferrante, reaccionaron a la detallada divulgación instando a otros equipos cripto a suspender operaciones temporalmente y realizar exhaustivas revisiones de seguridad.
Él enfatizó la necesidad de “auditorías de custodia, riesgo, control de acceso y dependencias” en todos los proyectos DeFi, independientemente de las demandas de inversores o tenedores de tokens.
Miembros de la comunidad de seguridad como @tayvano_, @tanuki42_, @pcaversaccio, y @bax1337 recibieron reconocimiento público de Drift por sus contribuciones en el seguimiento de los actores de la amenaza. Drift también alentó a cualquier proyecto que enfrente amenazas similares a contactar con SEAL911 para coordinación y apoyo a medida que avanzan las investigaciones.
