El mayor exploit DeFi del año comenzó en un evento de networking con bebidas de cortesía: Drift Protocol reveló el 5 de abril que su hack del 1 de abril fue el resultado de una operación de inteligencia de seis meses ahora vinculada con confianza media-alta a actores afiliados al Estado norcoreano.
Detalles del ataque a Drift Protocol
La infiltración comenzó en el otoño de 2025, cuando un grupo que se hacía pasar por una firma de trading cuantitativo se acercó a colaboradores de Drift en una importante conferencia cripto. En los meses siguientes, se reunieron con miembros del equipo cara a cara en múltiples eventos de la industria en varios países.
Depositaron más de 1 millón de dólares de su propio capital en un Ecosystem Vault.
Plantearon preguntas detalladas sobre el producto en múltiples sesiones de trabajo, construyendo lo que parecía ser una operación de trading legítima dentro de la infraestructura de Drift.
Entre diciembre de 2025 y marzo de 2026, el grupo profundizó sus lazos mediante integraciones con el vault y continuas reuniones presenciales en conferencias. Los colaboradores no tenían motivos de sospecha: para el momento del exploit, la relación tenía casi medio año e incluía antecedentes profesionales verificados, conversaciones técnicas de fondo y una presencia on-chain funcional.
Cuando el ataque golpeó el 1 de abril, los chats de Telegram del grupo y el software malicioso fueron borrados por completo. La revisión forense identificó dos vectores de intrusión probables: un repositorio de código malicioso compartido bajo el pretexto de desplegar un frontend para el vault, y una aplicación de TestFlight presentada como el producto de monedero del grupo.
Una vulnerabilidad conocida en los editores VSCode y Cursor, marcada activamente por la comunidad de seguridad desde diciembre de 2025 hasta febrero de 2026, pudo haber permitido la ejecución silenciosa de código simplemente al abrir un archivo.
Todas las funciones restantes del protocolo han sido congeladas y las wallets comprometidas eliminadas del multisig. Mandiant ha sido contratada para la investigación, y las wallets de los atacantes han sido marcadas en exchanges y operadores de puentes.
También lee: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Sospecha sobre actores de amenazas norcoreanos
Investigaciones realizadas por el equipo SEALS 911 concluyeron con confianza media-alta que la operación fue llevada a cabo por los mismos actores de amenaza detrás del hack a Radiant Capital de octubre de 2024.
Mandiant atribuyó previamente ese ataque a UNC4736, un grupo afiliado al Estado norcoreano también rastreado como AppleJeus o Citrine Sleet.
La conexión se basa tanto en evidencia on-chain como en patrones operativos.
Los flujos de fondos usados para preparar y probar la operación contra Drift se remontan a los atacantes de Radiant, y las personas y personajes utilizados a lo largo de la campaña se superponen con actividad conocida vinculada a la RPDC. Cabe destacar que las personas que se presentaron en persona no eran nacionales norcoreanos: se sabe que los actores de amenazas de este nivel en la RPDC utilizan intermediarios de terceros para los encuentros cara a cara.
Lee a continuación: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline