Un atraco de 500 millones de dólares desenmascarado como una campaña prolongada de espías de Pyongyang
Una operación de inteligencia de seis meses precedió al exploit de Drift Protocol por valor de 270 millones de dólares y fue llevada a cabo por un grupo afiliado al estado de Corea del Norte, según una actualización detallada del incidente publicada por el equipo el domingo.
Los atacantes hicieron contacto por primera vez alrededor del otoño de 2025 en una importante conferencia sobre criptografía, presentándose como una empresa de comercio cuantitativo que busca integrarse con Drift.
Eran técnicamente fluidos, tenían experiencia profesional verificable y entendían cómo funcionaba el protocolo, dijo Drift. Se estableció un grupo de Telegram y lo que siguió fueron meses de conversaciones sustanciales sobre estrategias comerciales e integraciones de bóvedas, interacciones que son estándar sobre cómo las empresas comerciales se incorporan a los protocolos DeFi.
Entre diciembre de 2025 y enero de 2026, el grupo incorporó un Ecosystem Vault en Drift, celebró múltiples sesiones de trabajo con contribuyentes, depositó más de $1 millón de su propio capital y construyó una presencia operativa funcional dentro del ecosistema.
Los colaboradores de Drift se reunieron con personas del grupo cara a cara en varias conferencias importantes de la industria en varios países durante febrero y marzo. Cuando se lanzó el ataque el 1 de abril, la relación tenía casi medio año.
El compromiso parece haber llegado a través de dos vectores.
Un segundo descargó una aplicación TestFlight, la plataforma de Apple para distribuir aplicaciones preliminares que elude la revisión de seguridad de la App Store, que el grupo presentó como su producto de billetera.
Para el vector del repositorio, Drift señaló una vulnerabilidad conocida en VSCode y Cursor, dos de los editores de código más utilizados en el desarrollo de software, que la comunidad de seguridad había estado señalando desde finales de 2025, donde simplemente abrir un archivo o carpeta en el editor era suficiente para ejecutar silenciosamente código arbitrario sin avisos ni advertencias de ningún tipo.
Una vez que los dispositivos fueron comprometidos, los atacantes tuvieron lo que necesitaban para obtener las dos aprobaciones multifirma que permitieron el ataque duradero nonce que CoinDesk detalló a principios de esta semana. Esas transacciones prefirmadas permanecieron inactivas durante más de una semana antes de ser ejecutadas el 1 de abril, drenando 270 millones de dólares de las bóvedas del protocolo en menos de un minuto.
La atribución apunta a UNC4736, un grupo afiliado al estado de Corea del Norte, también rastreado como AppleJeus o Citrine Sleet, basándose tanto en los flujos de fondos en cadena que se remontan a los atacantes de Radiant Capital como en la superposición operativa con personas conocidas vinculadas a la RPDC.
Sin embargo, las personas que asistieron personalmente a las conferencias no eran ciudadanos norcoreanos. Se sabe que los actores de amenazas de la RPDC en este nivel utilizan intermediarios externos con identidades completamente construidas, historiales laborales y redes profesionales construidas para resistir la debida diligencia.
Drift instó a otros protocolos a auditar los controles de acceso y tratar a cada dispositivo que toque un multisig como un objetivo potencial. La implicación más amplia es incómoda para una industria que depende de la gobernanza multifirma como su principal modelo de seguridad.
Pero si los atacantes están dispuestos a gastar seis meses y un millón de dólares en construir una presencia legítima dentro de un ecosistema, reunirse con los equipos en persona, aportar capital real y esperar, la pregunta es qué modelo de seguridad está diseñado para detectar eso.