Hackers norcoreanos infiltraron Drift durante seis meses antes de explotar $285 millones

Resumen

• Drift Protocol ha atribuido con «media-alta confianza» el reciente ataque de $285 millones a su DEX a UNC4736, un grupo de hackers vinculado al estado norcoreano.
• Los atacantes depositaron más de $1 millón de su propio capital y crearon un vault funcional dentro del ecosistema antes de ejecutar la explotación.
• Los delincuentes eliminaron inmediatamente todas las huellas, con chats de Telegram y malware «completamente borrados» tras la ejecución.

Drift Protocol, un intercambio descentralizado basado en Solana, informó el domingo que el ataque que drenó aproximadamente $285 millones de la plataforma fue el resultado de una operación de inteligencia estructurada que duró seis meses, llevada a cabo por un grupo de amenazas vinculado al estado norcoreano.

Los atacantes emplearon identidades profesionales falsas, reuniones presenciales en conferencias, y herramientas de desarrollo maliciosas para comprometer a los colaboradores antes de ejecutar el drenaje, según indicó el protocolo en una actualización detallada del incidente.

«Los equipos de criptomonedas están enfrentando adversarios que operan más como unidades de inteligencia que como hackers, y la mayoría de las organizaciones no están estructuralmente preparadas para ese nivel de amenaza», comentó Michael Pearl, VP de Estrategia en la firma de seguridad blockchain Cyvers.

Drift mencionó que el grupo primero se acercó a los colaboradores en una importante conferencia de criptomonedas el otoño pasado, presentándose como una firma de trading cuantitativo interesada en integrarse con el protocolo.

A lo largo de meses, el grupo generó confianza mediante reuniones en persona, coordinación a través de Telegram, y al final creó un Ecosystem Vault en Drift, depositando $1 millón de su propio capital, solo para desaparecer. Los chats y el malware fueron «completamente borrados» en el momento de la explotación.

El DEX indicó que la intrusión podría haber involucrado un repositorio de código malicioso, una falsa aplicación de TestFlight y una vulnerabilidad en VSCode/Cursor que permitió la ejecución silenciosa de código sin interacción del usuario.

Drift atribuyó el ataque con «media-alta confianza» a UNC4736, también rastreado como AppleJeus o Citrine Sleet—el mismo grupo vinculado al estado norcoreano que la firma de ciberseguridad Mandiant asoció con el hackeo de Radiant Capital en 2024.

Drift señaló que los individuos que se reunieron con los colaboradores en persona no eran nacionales norcoreanos, indicando que los actores vinculados a la DPRK a menudo dependen de intermediarios terceros para el «intercambio cara a cara».

Los flujos de fondos on-chain y las identidades solapadas apuntan a actores vinculados a la DPRK, según los respondedores de incidentes SEAL 911, aunque Mandiant aún no ha confirmado la atribución pendiente de análisis forense, observó la plataforma.

El investigador de seguridad @tayvano_, uno de los expertos que Drift acreditó por su ayuda en la identificación de los actores maliciosos, sugirió que la exposición va más allá de este incidente.

En un tweet, el experto enumeró docenas de protocolos DeFi, alegando que «los trabajadores de TI de la DPRK construyeron los protocolos que conoces y amas, desde el verano DeFi.»

Implicaciones en la industria

«Drift y Bybit destacan el mismo patrón: los firmantes no fueron comprometidos directamente a nivel del protocolo, fueron engañados para aprobar transacciones maliciosas,» señaló Pearl. «El problema central no es el número de firmantes, sino la falta de comprensión de la intención de las transacciones.»

Mencionó que los monederos multisig, aunque representan una mejora respecto al control de una sola clave, ahora generan una falsa sensación de seguridad, introduciendo «una paradoja» donde la responsabilidad compartida reduce la supervisión entre los firmantes.

“La seguridad debe trasladarse a la validación previa a la transacción a nivel de blockchain, donde las transacciones son simuladas y verificadas de forma independiente antes de su ejecución,” comentó Pearl, añadiendo que una vez que los atacantes controlan lo que los usuarios ven, la única defensa efectiva es validar lo que realmente hace una transacción, independientemente de la interfaz.

Con respecto a las herramientas de desarrollo como superficie de ataque, Lavid aseguró que la asunción debe cambiar desde la base.

«Debes asumir que el punto final está comprometido,» dijo a Decrypt, señalando que los IDE, los repositorios de código, las aplicaciones móviles y los entornos de firma son puntos de entrada cada vez más comunes.

“Si estas herramientas fundamentales son vulnerables, cualquier cosa mostrada al usuario, incluidas las transacciones, puede ser manipulada,” afirmó el experto, señalando que esto “rompe fundamentalmente las suposiciones de seguridad tradicionales,” dejando a los equipos incapaces de confiar “en la interfaz, en el dispositivo o incluso en el flujo de firma.”