Una operación de inteligencia de seis meses precedió al exploit de $270 millones del protocolo Drift y fue llevada a cabo por un grupo afiliado al Estado norcoreano, según un detallado informe de incidente publicado por el equipo el domingo anterior.
Los atacantes primero hicieron contacto alrededor de otoño de 2025 en una importante conferencia de criptomonedas, presentándose como una firma de trading cuantitativo que buscaba integrarse con Drift.
Eran técnicamente competentes, tenían antecedentes profesionales verificables y entendían cómo funcionaba el protocolo, dijo Drift. Se estableció un grupo de Telegram y lo que siguieron fueron meses de conversaciones sustanciales sobre estrategias de trading e integraciones de bóvedas, interacciones que son habituales para que las firmas de trading incorporen protocolos DeFi.
Entre diciembre de 2025 y enero de 2026, el grupo incorporó una Ecosystem Vault en Drift, realizó múltiples sesiones de trabajo con colaboradores, depositó más de $1 millón de su propio capital y construyó una presencia operativa funcional dentro del ecosistema.
Los colaboradores de Drift se reunieron cara a cara con individuos del grupo en múltiples conferencias importantes de la industria en varios países durante febrero y marzo. Para cuando el ataque se lanzó el 1 de abril, la relación ya tenía casi medio año.
La intrusión parece haber llegado a través de dos vectores.
Uno descargó una aplicación TestFlight, la plataforma de Apple para distribuir apps en fase previa que elude la revisión de seguridad de la App Store, que el grupo presentó como su producto de billetera.
Para el vector del repositorio, Drift señaló una vulnerabilidad conocida en VSCode y Cursor, dos de los editores de código más utilizados en el desarrollo de software, que la comunidad de seguridad había estado señalando desde finales de 2025. Allí, con solo abrir un archivo o una carpeta en el editor bastaba para ejecutar silenciosamente código arbitrario sin ningún aviso ni advertencia.
Una vez que los dispositivos quedaron comprometidos, los atacantes ya tenían lo que necesitaban para obtener las dos aprobaciones multisig que habilitaron el ataque de nonce duradero que CoinDesk detalló anteriormente esta semana. Esas transacciones prefirmadas permanecieron inactivas durante más de una semana antes de ejecutarse el 1 de abril, drenando $270 millones de las bóvedas del protocolo en menos de un minuto.
La atribución apunta a UNC4736, un grupo afiliado al Estado norcoreano también rastreado como AppleJeus o Citrine Sleet, según los flujos de fondos on-chain que se remontan a los atacantes de Radiant Capital y el solapamiento operativo con identidades vinculadas a DPRK conocidas.
Las personas que aparecieron en persona en conferencias, sin embargo, no eran nacionales norcoreanos. Los actores de amenaza de la DPRK de este nivel se sabe que despliegan intermediarios de terceros con identidades totalmente construidas, historiales de empleo y redes profesionales diseñadas para resistir la diligencia debida.
Drift instó a otros protocolos a auditar los controles de acceso y a tratar todo dispositivo que interactúe con un multisig como un posible objetivo. La implicación más amplia resulta incómoda para una industria que confía en la gobernanza multisig como su modelo de seguridad principal.
Pero si los atacantes están dispuestos a invertir seis meses y un millón de dólares para construir una presencia legítima dentro de un ecosistema, reunirse con equipos en persona, aportar capital real y esperar, la pregunta es: ¿qué modelo de seguridad está diseñado para detectar eso?
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Nigel Farage invierte 2 millones de libras en Bitcoin, convirtiéndose en el primer parlamentario británico que revela públicamente que posee criptomonedas
El líder del Partido Reformista británico, Nigel Farage, compró Bitcoin por aproximadamente 2 millones de libras esterlinas, convirtiéndose en el primer miembro del Parlamento en funciones en divulgar públicamente una inversión de esta magnitud. Esta acción muestra el respaldo de su partido a las criptomonedas y podría desencadenar debates sobre posibles influencias y conflictos de intereses en las políticas de cripto de Reino Unido. Farage realizó la inversión a través de Stack BTC, reforzando su doble respaldo político y financiero.
MarketWhisperHace48m
Los bancos estadounidenses cuestionan el informe de la tasa de rendimiento de las stablecoins de la Casa Blanca, preocupados por el riesgo de que los depósitos salgan.
Los bancos estadounidenses cuestionan el informe de rendimiento de las stablecoins dirigido a la Casa Blanca, y afirman que el informe ignora el impacto de las stablecoins en la salida de depósitos, lo que podría provocar un aumento de los costos de financiación y una disminución de los préstamos locales. Actualmente, ambas partes negocian el proyecto de ley del Senado; la prohibición de los pagos de intereses sobre stablecoins es el punto central de la controversia.
GateNewshace1h
El sector bancario cuestiona el informe de las monedas estables de la Casa Blanca; se evita a propósito la crisis de la fuga de depósitos de los bancos comunitarios
La American Bankers Association critica el marco de investigación del informe sobre stablecoins de la Casa Blanca, señalando que ignora el riesgo de salidas de depósitos que podría desencadenar la prohibición de los rendimientos de las stablecoins. El informe de la Casa Blanca afirma que la prohibición tiene un impacto mínimo en los préstamos bancarios, solo 2.100 millones de dólares más, pero la ABA considera que este marco no refleja el riesgo real de daño a los bancos comunitarios y al apoyo de la economía local. Esta controversia también está relacionada con la legislación regulatoria de criptomonedas vigente en la actualidad, y podría influir en el desarrollo futuro de las stablecoins y en el entorno competitivo de los bancos.
MarketWhisperhace1h
La riqueza neta de Trump se dispara un 60% hasta 6.300 millones de dólares, la expansión comercial genera controversias sobre conflictos de intereses
Se estima que el patrimonio neto de Trump es de 6.300 millones de dólares, lo que supone un aumento de aproximadamente el 60% antes de su regreso a la Casa Blanca. Este crecimiento se debe principalmente a la expansión de su familia en operaciones inmobiliarias en el extranjero y en el sector de las criptomonedas; expertos en ética gubernamental han expresado su preocupación, al considerar que podría haber conflictos de intereses. La Casa Blanca y el Grupo Trump niegan este tipo de afirmaciones.
GateNewshace3h
El Grupo Citigroup eleva la calificación del mercado de valores de EE. UU. a “comprar”, con preferencia por acciones defensivas
Noticias del portal Gate News, 14 de abril: los estrategas de Citigroup elevaron la calificación de las acciones del mercado estadounidense de “neutral” a “comprar más”, alineándose con la postura de otros analistas de Wall Street. Citi indicó que la mayor incertidumbre sobre la situación de guerra hace que los inversores prefieran compañías de mayor calidad y con una mayor capacidad defensiva. Con base en el principio de “sesgo hacia la calidad/lo defensivo”, Citi ajustó la asignación global de activos. Además, Citi redujo la calificación de las acciones de mercados emergentes de “comprar más” a “neutral”, argumentando que estos mercados son más propensos a verse afectados por choques energéticos y que la fortaleza del dólar ejerce presión sobre ellos.
GateNewshace3h
Embajador de Irán en India: los petroleros de India no han pagado las tarifas de tránsito del Estrecho de Ormuz a Irán
El embajador de Irán en India, Fattahali, declaró que los petroleros indios que transitan por el Estrecho de Ormuz no han pagado peajes a Irán, y que el Gobierno de India también niega haber pagado ninguna tarifa. Desde el inicio de la guerra de Irán, Irán ha bloqueado esa ruta, y actualmente aún hay 15 barcos con bandera india varados en el golfo Pérsico.
GateNewshace5h
