Cómo el programa de espionaje secreto de 6 meses de duración de Corea del Norte hace que la criptocomunidad reconsidere la seguridad

Cuando Drift reveló los detalles detrás de su exploit de 270 millones de dólares, la parte más inquietante no fue la magnitud de la pérdida, sino cómo sucedió.

Según el equipo detrás del protocolo, el ataque no fue un error de contrato inteligente ni una manipulación inteligente del código. Fue una campaña de seis meses que incluyó identidades falsas, reuniones en persona en varios países y una confianza cuidadosamente cultivada. Los atacantes, supuestamente originarios de Corea del Norte, no sólo encontraron una vulnerabilidad en el sistema. Se convirtieron en parte de ello.

Esta nueva amenaza ahora está obligando a un ajuste de cuentas más amplio en las finanzas descentralizadas.

Durante años, la industria ha tratado la seguridad como un problema técnico, algo que podría resolverse con auditorías, verificación formal y un mejor código. Pero el incidente de Drift sugiere algo mucho más complejo: que las vulnerabilidades reales pueden estar completamente fuera del código base.

Alexander Urbelis, director de seguridad de la información (CISO) de ENS Labs, sostiene que el marco en sí ya está desactualizado.

"Necesitamos dejar de llamar a estos 'hacks' y empezar a llamarlos como son: operaciones de inteligencia", dijo Urbelis a CoinDesk. "Las personas que asistieron a las conferencias, que conocieron personalmente a los contribuyentes de Drift en varios países, que depositaron un millón de dólares de su propio dinero para generar credibilidad: eso es artesanía. Es el tipo de cosas que esperarías de un oficial de casos, no de un hacker".

Si esa caracterización se mantiene, entonces Drift representa un nuevo libro de jugadas: uno en el que los atacantes se comportan menos como hackers oportunistas y más como operadores pacientes que se integran socialmente antes de hacer un movimiento en la cadena.

"Corea del Norte ya no busca contratos vulnerables. Están buscando personas vulnerables... Eso no es piratería. Eso es ejecutar agentes", añadió Urbelis.

Las tácticas en sí no son del todo nuevas.

Las investigaciones de los últimos años han demostrado que agentes norcoreanos se infiltran en empresas de criptomonedas haciéndose pasar por desarrolladores, pasando entrevistas de trabajo e incluso consiguiendo puestos con identidades falsas. Pero el incidente de Drift sugiere que esos esfuerzos se han intensificado, desde obtener acceso mediante la contratación de oleoductos hasta ejecutar operaciones de construcción de relaciones en persona que duran meses antes de ejecutar un ataque.

'El talón de Aquiles'

Ese cambio es lo que más preocupa a muchos líderes de seguridad. Incluso el protocolo auditado más rigurosamente puede fallar si un contribuyente se ve comprometido.

David Schwed, director de operaciones de SVRN y ex CISO de Robinhood y Galaxy, ve el caso Drift como una llamada de atención.

"Los protocolos deben comprender a qué se enfrentan. Estos no son simples exploits. Son operaciones bien planificadas que duran meses con recursos dedicados, identidades fabricadas y un elemento humano deliberado", dijo Schwed a CoinDesk. "Ese elemento humano es el talón de Aquiles de muchas organizaciones".

Muchos equipos de DeFi siguen siendo pequeños, de rápido movimiento y basados ​​en la confianza. Pero cuando un puñado de personas controlan el acceso crítico, comprometer a una puede ser suficiente.

Schwed sostiene que es necesario actualizar la respuesta. "La respuesta es un programa de seguridad bien reforzado que proteja no sólo la tecnología, sino también a las personas y el proceso... La seguridad debe ser fundamental para el proyecto y el equipo".

Algunos protocolos ya se están adaptando. En Júpiter, una de las plataformas DeFi más grandes de Solana, la base de auditorías y verificación formal permanece, pero los líderes afirman que ya no es suficiente.

"Claramente, proteger el código a través de múltiples auditorías independientes, fuentes abiertas y verificación formal es solo una cuestión de mesa. La superficie de ataques se ha ampliado sustancialmente", dijo el director de operaciones Kash Dhanda.

Esa superficie más amplia ahora incluye gobernanza, contribuyentes y seguridad operativa. Júpiter ha ampliado su uso de multisigs y timelocks mientras invierte en sistemas de detección y capacitación interna.

"Dado que la carne es más vulnerable que el código, también estamos actualizando la capacitación y el monitoreo de opsec para los miembros clave del equipo", dijo Dhanda.

Incluso entonces, añadió, “no existe un estado final para la seguridad” y la complacencia sigue siendo el mayor riesgo.

Para protocolos como dYdX, el incidente de Drift refuerza una realidad que no se puede eliminar por completo.

"Es un hecho desafortunado que los proyectos criptográficos sean cada vez más el objetivo de malos actores patrocinados por el estado... los desarrolladores deben tomar precauciones para prevenir y mitigar el impacto de los compromisos de ingeniería social, pero los usuarios también deben ser conscientes de que, dada la creciente sofisticación de los malos actores, el riesgo de tales compromisos no se puede eliminar por completo", dijo David Gogel, director de operaciones de dYdX Labs.

Ese modelo de amenaza en evolución también está trasladando la responsabilidad hacia los propios usuarios.

"Los usuarios activos en DeFi deben tomarse el tiempo para comprender la arquitectura técnica de los protocolos o contratos inteligentes que contienen sus fondos, y deben tener en cuenta en sus evaluaciones de riesgo el papel y la naturaleza de cualquier multisig para las actualizaciones de software y la posibilidad de que puedan verse comprometidos maliciosamente", añadió Gogel.

'Modelo de amenaza'

Por algunos cuatro