Hack del protocolo Drift: cómo un grupo norcoreano pasó seis meses infiltrándose en un protocolo DeFi

El protocolo Drift sufrió un importante exploit el 1 de abril de 2026, lo que provocó una congelación total del protocolo. Desde entonces, se ha revelado que el incidente fue una operación de inteligencia estructurada que duró meses. Los socios forenses, incluido Mandiant, están ayudando a las autoridades a investigar la infracción. Los hallazgos preliminares apuntan a un grupo amenazador afiliado al estado de Corea del Norte como los probables perpetradores. Esta es una de las campañas de ingeniería social más deliberadas documentadas en las finanzas descentralizadas hasta la fecha. El ataque a Drift Protocol no comenzó el día en que ocurrió. Se remonta al otoño de 2025, cuando se contactó a los contribuyentes en una importante conferencia sobre criptografía. El grupo se presentó como una empresa comercial cuantitativa que buscaba la integración de protocolos. Tenían fluidez técnica y antecedentes profesionales verificables. Durante los meses siguientes, las personas de este grupo continuaron reuniéndose en persona con los colaboradores de Drift. Estos encuentros se produjeron en múltiples conferencias industriales en varios países. Desde la primera reunión se creó un grupo de Telegram. Lo que siguió fueron meses de conversaciones detalladas sobre estrategias comerciales e integraciones de bóvedas. Desde diciembre de 2025 hasta enero de 2026, el grupo incorporó un Ecosystem Vault al protocolo. Depositaron más de 1 millón de dólares de su propio capital y participaron en múltiples sesiones de trabajo. En febrero y marzo de 2026, el protocolo señalaba que "estos no eran extraños; eran personas con las que los colaboradores de Drift habían trabajado y habían conocido en persona". Durante este período se compartieron de forma rutinaria enlaces a proyectos, herramientas y aplicaciones. Posteriormente, la investigación reveló que “los perfiles utilizados en esta operación tenían identidades completamente construidas, incluidos historiales laborales, credenciales públicas y redes profesionales”. Los colaboradores interactuaron con ellos a través de discusiones detalladas sobre el producto. Esto construyó una presencia operativa creíble dentro del ecosistema Drift con el tiempo. Después del exploit del 1 de abril, una revisión forense de los dispositivos y comunicaciones afectados señaló al grupo comercial como el probable vector de intrusión. Sus chats de Telegram y su software malicioso fueron completamente eliminados inmediatamente después del ataque. Desde entonces, de la investigación en curso han surgido tres posibles vectores de ataque. Es posible que un colaborador haya clonado un repositorio de código compartido por el grupo. Se presentó como una implementación frontal para su bóveda. Otro colaborador fue inducido a descargar una aplicación TestFlight enmarcada como el producto de billetera del grupo. Con respecto al vector basado en repositorio, “simplemente abrir un archivo, carpeta o repositorio en el editor fue suficiente para ejecutar código arbitrario silenciosamente, sin avisos o indicaciones al usuario, clics, diálogos de permisos o advertencias de ningún tipo”. El análisis forense completo del hardware afectado sigue en curso. Desde entonces, Drift ha instado al ecosistema más amplio a "controlar a sus equipos, auditar quién tiene acceso a qué y tratar cada dispositivo que toque su multifirma como un objetivo potencial". Con un nivel de confianza medio-alto, el equipo SEALS 911 evaluó esto como trabajo de UNC4736. Ese grupo es un actor afiliado al estado norcoreano rastreado como AppleJeus o Citrine Sleet. Los flujos de fondos en cadena y las personas superpuestas conectan esta campaña con el hack de Radiant Capital de octubre de 2024. Las personas que aparecieron en persona no eran ciudadanos norcoreanos, ya que se sabe que los actores de amenazas de la RPDC utilizan terceros intermediarios para el contacto directo.