Una operación de inteligencia de seis meses precedió al exploit de $270 millones del Protocolo Drift y fue llevada a cabo por un grupo afiliado al Estado norcoreano, según una actualización detallada del incidente publicada por el equipo el domingo anterior.
Los atacantes establecieron primero contacto alrededor del otoño de 2025 en una conferencia importante de criptomonedas, presentándose como una firma de trading cuantitativo que buscaba integrarse con Drift.
Eran técnicamente competentes, tenían antecedentes profesionales verificables y entendían cómo funcionaba el protocolo, dijo Drift. Se estableció un grupo de Telegram y lo que siguió fueron meses de conversaciones sustantivas sobre estrategias de trading e integraciones de bóvedas, interacciones que son estándar para cómo las firmas de trading se incorporan a protocolos DeFi.
Entre diciembre de 2025 y enero de 2026, el grupo incorporó una Ecosystem Vault en Drift, realizó múltiples sesiones de trabajo con colaboradores, depositó más de $1 millón de su propio capital y construyó una presencia operativa funcional dentro del ecosistema.
Los colaboradores de Drift se reunieron cara a cara con individuos del grupo en múltiples conferencias importantes de la industria en varios países durante febrero y marzo. Para cuando el ataque se lanzó el 1 de abril, la relación ya tenía casi medio año.
La filtración parece haber llegado a través de dos vectores.
Una segunda persona descargó una aplicación TestFlight, la plataforma de Apple para distribuir aplicaciones previas al lanzamiento que eluden la revisión de seguridad de la App Store, que el grupo presentó como su producto de wallet.
Para el vector del repositorio, Drift señaló una vulnerabilidad conocida en VSCode y Cursor, dos de los editores de código más utilizados en el desarrollo de software, que la comunidad de seguridad había estado señalando desde finales de 2025, donde con solo abrir un archivo o carpeta en el editor era suficiente para ejecutar silenciosamente código arbitrario sin petición ni advertencia de ningún tipo.
Una vez que los dispositivos quedaron comprometidos, los atacantes tenían lo necesario para obtener las dos aprobaciones multisig que habilitaron el ataque de nonce duradero que CoinDesk detalló anteriormente esta semana. Esas transacciones prefirmadas permanecieron en espera durante más de una semana antes de ejecutarse el 1 de abril, drenando $270 millones de las bóvedas del protocolo en menos de un minuto.
La atribución apunta a UNC4736, un grupo afiliado al Estado norcoreano también rastreado como AppleJeus o Citrine Sleet, según tanto los flujos de fondos on-chain que rastrean hasta los atacantes de Radiant Capital como la superposición operativa con personas vinculadas a DPRK conocidas.
Sin embargo, las personas que aparecieron en persona en las conferencias no eran nacionales norcoreanos. Los actores de amenaza de DPRK de este nivel son conocidos por desplegar intermediarios de terceros con identidades completamente construidas, historiales de empleo y redes profesionales diseñadas para resistir la debida diligencia.
Drift instó a otros protocolos a auditar los controles de acceso y tratar todo dispositivo que toque un multisig como un objetivo potencial. La implicación más amplia es incómoda para una industria que depende de la gobernanza multisig como su modelo principal de seguridad.
Pero si los atacantes están dispuestos a pasar seis meses y un millón de dólares construyendo una presencia legítima dentro de un ecosistema, reunirse con equipos en persona, aportar capital real y esperar, la pregunta es: ¿qué modelo de seguridad está diseñado para detectar eso?
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
La UE anuncia el mayor paquete de sanciones contra Rusia en dos años, prohibiendo los servicios de cripto y el rublo digital
Mensaje de Gate News, 27 de abril — La Unión Europea ha dado a conocer sus sanciones más amplias contra Rusia en dos años, imponiendo una prohibición industrial integral a los proveedores y plataformas de servicios de criptomonedas establecidos en Rusia. Las medidas también prohíben la CBDC, la moneda digital del banco central de Rusia
GateNewshace1h
Irán suspende las exportaciones de tochos de acero y chapas de acero hasta el 30 de mayo
Mensaje de Gate News, 27 de abril: Irán ha suspendido las exportaciones de tochos de acero y chapas de acero hasta el 30 de mayo, según los medios estatales iraníes.
GateNewshace3h
La comunidad de Bitcoin cuestiona el conocimiento cripto de los funcionarios del gobierno de EE. UU. después del testimonio en el Senado
Mensaje de Gate News, 27 de abril — El almirante Samuel Paparo testificó ante el Senado y la Cámara de EE. UU. el 21 y 22 de abril que Bitcoin tiene valor en ciberseguridad y que el ejército de EE. UU. ya está operando un nodo en la red. Según un extracto de la transcripción del Comité de Servicios Armados de la Cámara, publicado por
GateNewshace4h
Cinco Bancos Centrales Celebrarán Reuniones de Política Esta Semana; Se Espera que las Decisiones Monetarias Impulsen los Mercados
Mensaje de Gate News, 27 de abril — Cinco grandes bancos centrales — el Banco de Japón, el Banco de Canadá, la Reserva Federal de EE. UU., el Banco de Inglaterra y el Banco Central Europeo — celebrarán reuniones de política esta semana, y se espera que las decisiones de política monetaria sean el principal motor del mercado, según Asger Wilhelm
GateNewshace5h
Bitcoin cae por debajo de 78000 dólares, las conversaciones entre Irán y Estados Unidos vuelven a estancarse, impulsando los precios del petróleo
El bitcoin cayó por debajo de 78,000 dólares durante el horario bursátil asiático del 27 de abril (lunes); en el mismo periodo, el precio del petróleo Brent subió 1% hasta 106.50 dólares por barril, nuevamente afectado por el fracaso de las segundas negociaciones de paz entre EE. UU. e Irán. El petróleo crudo estadounidense (WTI) subió simultáneamente 1% hasta 95.40 dólares por barril. El ether cotiza en 2,335.24 dólares y XRP en 1.4230 dólares.
MarketWhisperhace6h
Los datos económicos de EE. UU. de esta semana podrían impulsar la volatilidad del mercado cripto; la decisión de la Fed y el informe de empleo son clave
Noticias de Gate, 27 de abril — El mercado cripto cayó 0.5% hasta $2.59 billones mientras los inversores se preparaban para varios importantes anuncios económicos de EE. UU. esta semana que podrían marcar la dirección de los precios de Bitcoin y las altcoins. Bitcoin se negoció cerca de $77,800, mientras que el Índice de Miedo & Codicia Cripto recientemente se ha movido hacia el rango de mediados de los 40, según datos del mercado, lo que muestra un sentimiento mixto pese a las ganancias recientes.
GateNewshace6h
