Drift dice que el exploit de $270 millones fue una operación de inteligencia norcoreana de seis meses

Una operación de inteligencia de seis meses precedió al exploit de $270 millones del Protocolo Drift y fue llevada a cabo por un grupo afiliado al Estado norcoreano, según una actualización detallada del incidente publicada por el equipo el domingo anterior.

Los atacantes establecieron primero contacto alrededor del otoño de 2025 en una conferencia importante de criptomonedas, presentándose como una firma de trading cuantitativo que buscaba integrarse con Drift.

Eran técnicamente competentes, tenían antecedentes profesionales verificables y entendían cómo funcionaba el protocolo, dijo Drift. Se estableció un grupo de Telegram y lo que siguió fueron meses de conversaciones sustantivas sobre estrategias de trading e integraciones de bóvedas, interacciones que son estándar para cómo las firmas de trading se incorporan a protocolos DeFi.

Entre diciembre de 2025 y enero de 2026, el grupo incorporó una Ecosystem Vault en Drift, realizó múltiples sesiones de trabajo con colaboradores, depositó más de $1 millón de su propio capital y construyó una presencia operativa funcional dentro del ecosistema.

Los colaboradores de Drift se reunieron cara a cara con individuos del grupo en múltiples conferencias importantes de la industria en varios países durante febrero y marzo. Para cuando el ataque se lanzó el 1 de abril, la relación ya tenía casi medio año.

La filtración parece haber llegado a través de dos vectores.

Una segunda persona descargó una aplicación TestFlight, la plataforma de Apple para distribuir aplicaciones previas al lanzamiento que eluden la revisión de seguridad de la App Store, que el grupo presentó como su producto de wallet.

Para el vector del repositorio, Drift señaló una vulnerabilidad conocida en VSCode y Cursor, dos de los editores de código más utilizados en el desarrollo de software, que la comunidad de seguridad había estado señalando desde finales de 2025, donde con solo abrir un archivo o carpeta en el editor era suficiente para ejecutar silenciosamente código arbitrario sin petición ni advertencia de ningún tipo.

Una vez que los dispositivos quedaron comprometidos, los atacantes tenían lo necesario para obtener las dos aprobaciones multisig que habilitaron el ataque de nonce duradero que CoinDesk detalló anteriormente esta semana. Esas transacciones prefirmadas permanecieron en espera durante más de una semana antes de ejecutarse el 1 de abril, drenando $270 millones de las bóvedas del protocolo en menos de un minuto.

La atribución apunta a UNC4736, un grupo afiliado al Estado norcoreano también rastreado como AppleJeus o Citrine Sleet, según tanto los flujos de fondos on-chain que rastrean hasta los atacantes de Radiant Capital como la superposición operativa con personas vinculadas a DPRK conocidas.

Sin embargo, las personas que aparecieron en persona en las conferencias no eran nacionales norcoreanos. Los actores de amenaza de DPRK de este nivel son conocidos por desplegar intermediarios de terceros con identidades completamente construidas, historiales de empleo y redes profesionales diseñadas para resistir la debida diligencia.

Drift instó a otros protocolos a auditar los controles de acceso y tratar todo dispositivo que toque un multisig como un objetivo potencial. La implicación más amplia es incómoda para una industria que depende de la gobernanza multisig como su modelo principal de seguridad.

Pero si los atacantes están dispuestos a pasar seis meses y un millón de dólares construyendo una presencia legítima dentro de un ecosistema, reunirse con equipos en persona, aportar capital real y esperar, la pregunta es: ¿qué modelo de seguridad está diseñado para detectar eso?