Una operación de inteligencia de seis meses precedió al exploit de $270 millones del Drift Protocol, llevado a cabo por un grupo afín al estado norcoreano, según un informe detallado publicado por el equipo el pasado domingo.
Los atacantes hicieron su primera aproximación alrededor del otoño de 2025 en una importante conferencia de criptomonedas, presentándose como una firma de trading cuantitativo interesada en integrarse con Drift.
Según Drift, mostraron un dominio técnico notable, contaban con antecedentes profesionales verificables y comprendían el funcionamiento del protocolo. Se creó un grupo en Telegram y, a lo largo de meses, mantuvieron conversaciones sustanciales sobre estrategias de trading e integraciones de bóveda, interacciones que son comunes en la forma en que las firmas de trading se integran con protocolos DeFi.
Entre diciembre de 2025 y enero de 2026, el grupo integró un Ecosystem Vault en Drift, realizó múltiples sesiones de trabajo con colaboradores, depositó más de $1 millón de su propio capital y estableció una presencia operativa funcional dentro del ecosistema.
Los colaboradores de Drift se reunieron en persona con personas del grupo en varias conferencias importantes de la industria en diferentes países durante febrero y marzo. Para cuando se lanzó el ataque el 1 de abril, la relación contaba ya con casi medio año.
La vulneración parece haberse producido a través de dos vectores.
El segundo vector involucró la descarga de una aplicación de TestFlight, la plataforma de Apple para distribuir aplicaciones en fase de prueba que elude la revisión de seguridad de la App Store, la cual el grupo presentó como su producto de billetera.
En cuanto al vector del repositorio, Drift señaló una vulnerabilidad conocida en VSCode y Cursor, dos de los editores de código más utilizados en el desarrollo de software. Esta falla fue alertada por la comunidad de seguridad desde finales de 2025, donde simplemente abrir un archivo o carpeta en el editor era suficiente para ejecutar código arbitrario de forma silenciosa, sin ninguna advertencia.
Una vez que los dispositivos fueron comprometidos, los atacantes obtuvieron lo necesario para conseguir las dos aprobaciones multisig que llevaron a cabo el ataque de nonce duradero, que CoinDesk detalló anteriormente esta semana. Esas transacciones pre-firmadas permanecieron inactivas por más de una semana antes de ser ejecutadas el 1 de abril, drenando $270 millones de las bóvedas del protocolo en menos de un minuto.
La atribución apunta a UNC4736, un grupo relacionado con el estado norcoreano también conocido como AppleJeus o Citrine Sleet, basado en los flujos de fondos en cadena que se remontan a los atacantes de Radiant Capital y en la superposición operativa con personas vinculadas a Corea del Norte.
Sin embargo, los individuos que aparecieron en persona en las conferencias no eran ciudadanos norcoreanos. Se sabe que los actores de amenaza de la DPRK en este nivel emplean intermediarios de terceros con identidades completamente construidas, historiales laborales y redes profesionales diseñadas para resistir la debida diligencia.
Drift instó a otros protocolos a auditar los controles de acceso y considerar cada dispositivo que toque un multisig como un posible objetivo. La implicación más amplia es incómoda para una industria que depende de la gobernanza multisig como su modelo de seguridad principal.
La cuestión es: si los atacantes están dispuestos a invertir seis meses y un millón de dólares construyendo una presencia legítima dentro de un ecosistema, encontrándose con equipos en persona, contribuyendo con capital real y esperando, ¿qué modelo de seguridad está diseñado para captar eso?
Fuente: www.coindesk.com