Una operación de inteligencia de seis meses precedió al exploit de $270 millones del protocolo Drift y fue llevada a cabo por un grupo afiliado al Estado norcoreano, según un detallado informe de incidente publicado por el equipo el domingo anterior.
Los atacantes primero hicieron contacto alrededor de otoño de 2025 en una importante conferencia de criptomonedas, presentándose como una firma de trading cuantitativo que buscaba integrarse con Drift.
Eran técnicamente competentes, tenían antecedentes profesionales verificables y entendían cómo funcionaba el protocolo, dijo Drift. Se estableció un grupo de Telegram y lo que siguieron fueron meses de conversaciones sustanciales sobre estrategias de trading e integraciones de bóvedas, interacciones que son habituales para que las firmas de trading incorporen protocolos DeFi.
Entre diciembre de 2025 y enero de 2026, el grupo incorporó una Ecosystem Vault en Drift, realizó múltiples sesiones de trabajo con colaboradores, depositó más de $1 millón de su propio capital y construyó una presencia operativa funcional dentro del ecosistema.
Los colaboradores de Drift se reunieron cara a cara con individuos del grupo en múltiples conferencias importantes de la industria en varios países durante febrero y marzo. Para cuando el ataque se lanzó el 1 de abril, la relación ya tenía casi medio año.
La intrusión parece haber llegado a través de dos vectores.
Uno descargó una aplicación TestFlight, la plataforma de Apple para distribuir apps en fase previa que elude la revisión de seguridad de la App Store, que el grupo presentó como su producto de billetera.
Para el vector del repositorio, Drift señaló una vulnerabilidad conocida en VSCode y Cursor, dos de los editores de código más utilizados en el desarrollo de software, que la comunidad de seguridad había estado señalando desde finales de 2025. Allí, con solo abrir un archivo o una carpeta en el editor bastaba para ejecutar silenciosamente código arbitrario sin ningún aviso ni advertencia.
Una vez que los dispositivos quedaron comprometidos, los atacantes ya tenían lo que necesitaban para obtener las dos aprobaciones multisig que habilitaron el ataque de nonce duradero que CoinDesk detalló anteriormente esta semana. Esas transacciones prefirmadas permanecieron inactivas durante más de una semana antes de ejecutarse el 1 de abril, drenando $270 millones de las bóvedas del protocolo en menos de un minuto.
La atribución apunta a UNC4736, un grupo afiliado al Estado norcoreano también rastreado como AppleJeus o Citrine Sleet, según los flujos de fondos on-chain que se remontan a los atacantes de Radiant Capital y el solapamiento operativo con identidades vinculadas a DPRK conocidas.
Las personas que aparecieron en persona en conferencias, sin embargo, no eran nacionales norcoreanos. Los actores de amenaza de la DPRK de este nivel se sabe que despliegan intermediarios de terceros con identidades totalmente construidas, historiales de empleo y redes profesionales diseñadas para resistir la diligencia debida.
Drift instó a otros protocolos a auditar los controles de acceso y a tratar todo dispositivo que interactúe con un multisig como un posible objetivo. La implicación más amplia resulta incómoda para una industria que confía en la gobernanza multisig como su modelo de seguridad principal.
Pero si los atacantes están dispuestos a invertir seis meses y un millón de dólares para construir una presencia legítima dentro de un ecosistema, reunirse con equipos en persona, aportar capital real y esperar, la pregunta es: ¿qué modelo de seguridad está diseñado para detectar eso?
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
A16z respalda a la CFTC en mercados de predicción, citando los volúmenes de $150B Polymarket-Kalshi
Según The Block, Andreessen Horowitz presentó una carta de comentarios de 18 páginas ante la Commodity Futures Trading Commission el viernes, apoyando la supervisión federal de los mercados de predicción y oponiéndose a las medidas de represión a nivel estatal. A16z argumentó que las cartas de cese y desistimiento y las prohibiciones propuestas por reguladores estatales
GateNewshace4h
El líder de Reform del Reino Unido, Farage, se enfrenta a una investigación por conflicto de intereses después de recibir 5 millones de libras; el partido propuso una reducción del impuesto cripto del 24% al 10%
Según ChainCatcher, el líder del Partido Reformista del Reino Unido, Nigel Farage, se enfrenta a acusaciones de conflicto de intereses después de recibir una donación personal de 5 millones de libras del inversor cripto Christopher Harborne en 2024. Tras la donación, el partido propuso cambios regulatorios en 2025 que reducirían críp
GateNewshace11h
El Banco de Inglaterra considera dejar en pausa el proyecto Britcoin este verano y cambia a la supervisión de la tokenización privada
Según Bloomberg, el Banco de Inglaterra y el Tesoro del Reino Unido están analizando frenar el proyecto de la libra digital (Britcoin), y una decisión que originalmente se había previsto para este verano ahora probablemente se pospondrá. Los reguladores quieren primero observar los avances en el sector privado
GateNewshace14h
La situación en Oriente Medio da un giro: el petróleo cae, el Bitcoin sube, y las acciones de EE. UU. marcan máximos históricos
Irán informa a los países del Golfo su postura de fin de las hostilidades; el precio del petróleo cae con fuerza, el Bitcoin y el oro repuntan a corto plazo, y las acciones de EE. UU. vuelven a marcar máximos. Este artículo desglosa en profundidad los mecanismos de transmisión con los que la mitigación del riesgo geopolítico impacta en cada clase de activo.
GateInstantTrends05-01 15:28
Irán responde al borrador de paz del lado estadounidense: el precio del petróleo cae casi un 2%, aparece un punto de inflexión en la guerra
Axios señala que Irán, a través de Pakistán como mediador, respondió oficialmente al borrador de acuerdo de paz tras las enmiendas de EE. UU.; el mercado del petróleo se debilita rápidamente: el crudo a futuros de Nueva York cayó cerca de un 2% hasta 103,27 USD, y el Brent ronda los 110,23 USD. Esto ocurre justo cuando vence el plazo de 60 días de la War Powers Resolution, en consonancia con lo que Trump afirma de que la guerra ya terminó. Los puntos clave a seguir serán el contenido de la respuesta de Irán, el umbral de aprobación del Congreso y la postura de Trump; si la situación se enfría y el precio del petróleo vuelve a bajar, podría afectar las expectativas de inflación y la política de la Reserva Federal.
ChainNewsAbmedia05-01 14:27
Fideicomiso familiar de la familia Lutnick: préstamos de Tether; senadores demócratas investigan el flujo de dinero entre política y negocios
Warren y Wyden a Lutnick y Tether Ardoino, piden los documentos relacionados con el préstamo a los hijos de Lutnick por Dynasty Trust A. El préstamo está garantizado con activos del fideicomiso; la contraprestación consiste en los bonos convertibles de Cantor Fitzgerald y opciones de acciones de Tether del 5%, con fecha en el día siguiente a que Lutnick venda sus participaciones a sus hijos. La cuestión central es el origen de los fondos y si existe influencia de la supervisión gubernamental, lo que generaría un conflicto de intereses. Si el 5/13 no responden, podría afectar las perspectivas de las empresas estadounidenses que cotizan en bolsa y de la GENIUS Act.
ChainNewsAbmedia05-01 14:26
