El mayor exploit de DeFi del año comenzó en un evento de networking con bebidas de cortesía: Drift Protocol reveló el 5 de abril que su Apr. 1 hack fue el resultado de una operación de inteligencia de seis meses, ahora vinculada con un nivel de confianza medio-alto a actores afiliados al Estado norcoreano.
Detalles del ataque a Drift Protocol
La infiltración began en el otoño de 2025, cuando un grupo que se hacía pasar por una empresa de trading cuantitativo se acercó a colaboradores de Drift en una gran conferencia de criptomonedas. Durante los meses siguientes, se reunieron con los miembros del equipo cara a cara en múltiples eventos del sector en varios países.
Depositron más de 1 millón de dólares de su propio capital en un Ecosystem Vault.
They asked detailed product questions across multiple working sessions, building what appeared to be a legitimate trading operation inside Drift's infrastructure.
Entre diciembre de 2025 y marzo de 2026, el grupo profundizó sus vínculos mediante integraciones con la bóveda y continuó las reuniones presenciales en conferencias. Los colaboradores no tenían motivos para sospechar: en el momento del exploit, la relación tenía casi medio año e incluía antecedentes profesionales verificados, conversaciones técnicas sustantivas y una presencia on-chain funcional.
Cuando se produjo el ataque el 1 de abril, los chats de Telegram del grupo y el software malicioso fueron borrados por completo. La revisión forense identificó dos posibles vectores de intrusión: un repositorio de código malicioso compartido bajo el pretexto de implementar un frontend para la bóveda, y una aplicación de TestFlight presentada como el producto de wallet del grupo.
Una vulnerabilidad conocida en los editores VSCode y Cursor, señalada activamente por la comunidad de seguridad desde diciembre de 2025 hasta febrero de 2026, pudo haber permitido la ejecución silenciosa de código simplemente al abrir un archivo.
Todas las funciones restantes del protocolo han sido congeladas y las wallets comprometidas se eliminaron del multisig. Mandiant ha sido contratada para la investigación, y las wallets de los atacantes han sido marcadas en los exchanges y operadores de puentes.
También lee: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Sospecha sobre actores de amenazas norcoreanos
Las investigaciones realizadas por el equipo de SEALS 911 evaluaron con un nivel de confianza medio-alto que la operación fue llevada a cabo por los mismos actores de amenaza detrás del hackeo de Radiant Capital de octubre de 2024.
Mandiant atribuyó previamente ese ataque a UNC4736, un grupo afiliado al Estado norcoreano también rastreado como AppleJeus o Citrine Sleet.
La conexión se basa tanto en evidencia on-chain como en patrones operativos.
Los flujos de fondos utilizados para preparar y probar la operación contra Drift se remontan a los atacantes de Radiant, y las personas y perfiles desplegados a lo largo de la campaña se superponen con actividades conocidas vinculadas a la RPDC. Cabe destacar que las personas que se presentaron en persona no eran nacionales norcoreanos: se sabe que los actores de amenazas de la RPDC de este nivel utilizan intermediarios de terceros para las interacciones cara a cara.
Lee a continuación: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline