El reciente hackeo a Drift Protocol ha dejado al descubierto una operación de inteligencia de seis meses, atribuida a un grupo vinculado al estado norcoreano, que culminó en el robo de $270 millones. Los atacantes, que se presentaron como una firma de trading cuantitativo, lograron infiltrarse en el ecosistema de Drift mediante una serie de interacciones que comenzaron en el otoño de 2025, durante una conferencia importante de criptomonedas. A través de conversaciones sobre estrategias de trading y la integración de bóvedas, los atacantes establecieron una presencia legítima dentro del protocolo, lo que les permitió ejecutar el ataque el 1 de abril de 2026, tras meses de preparación y la inversión de más de un millón de dólares de su propio capital.

La operación de los atacantes se desarrolló en dos vectores principales. Primero, lograron comprometer dispositivos mediante una aplicación de TestFlight, que es utilizada para distribuir aplicaciones en pre-lanzamiento, eludiendo las revisiones de seguridad de la App Store. En segundo lugar, aprovecharon una vulnerabilidad conocida en VSCode y Cursor, editores de código ampliamente utilizados, que permitía la ejecución silenciosa de código arbitrario al abrir un archivo o carpeta. Esta combinación de tácticas sofisticadas y la paciencia para construir relaciones dentro del ecosistema resultó en un ataque devastador que drenó los fondos de las bóvedas de Drift en menos de un minuto.

El grupo responsable, conocido como UNC4736, también identificado como AppleJeus o Citrine Sleet, ha sido vinculado a ataques anteriores relacionados con la República Popular Democrática de Corea (DPRK). Sin embargo, es importante señalar que los individuos que interactuaron con los contribuyentes de Drift no eran ciudadanos norcoreanos, lo que indica una estrategia de engaño más amplia, utilizando intermediarios con identidades y trayectorias profesionales cuidadosamente construidas. Esto plantea serias preguntas sobre la seguridad en el ecosistema DeFi, donde la gobernanza multisig es vista como un modelo de seguridad fundamental.

Las implicancias de este ataque son significativas para el sector de las criptomonedas. Drift ha instado a otros protocolos a revisar sus controles de acceso y a considerar cada dispositivo que interactúa con una multisig como un posible objetivo. La naturaleza del ataque sugiere que si los atacantes están dispuestos a invertir tiempo y recursos para infiltrarse en un ecosistema, los modelos de seguridad actuales pueden no ser suficientes para prevenir futuros incidentes. Esto podría llevar a una reevaluación de las prácticas de seguridad en toda la industria, especialmente en un momento en que la adopción de criptomonedas sigue creciendo.

A medida que la industria de las criptomonedas evoluciona, la necesidad de mejorar la seguridad se vuelve cada vez más urgente. Los inversores y participantes del mercado deben estar atentos a cómo las plataformas de DeFi responden a este tipo de amenazas y si implementan cambios significativos en sus protocolos de seguridad. Además, la comunidad debe estar alerta a posibles regulaciones que puedan surgir como respuesta a este tipo de incidentes, lo que podría tener un impacto en la forma en que se operan las criptomonedas a nivel global. Eventos como conferencias de criptomonedas y anuncios de auditorías de seguridad serán cruciales para monitorear la evolución de la seguridad en el sector.