Una operación de inteligencia de seis meses precedió al exploit de $270 millones del protocolo Drift y fue llevada a cabo por un grupo afiliado al Estado norcoreano, según un detallado informe de incidente publicado por el equipo el domingo anterior.
Los atacantes primero hicieron contacto alrededor de otoño de 2025 en una importante conferencia de criptomonedas, presentándose como una firma de trading cuantitativo que buscaba integrarse con Drift.
Eran técnicamente competentes, tenían antecedentes profesionales verificables y entendían cómo funcionaba el protocolo, dijo Drift. Se estableció un grupo de Telegram y lo que siguieron fueron meses de conversaciones sustanciales sobre estrategias de trading e integraciones de bóvedas, interacciones que son habituales para que las firmas de trading incorporen protocolos DeFi.
Entre diciembre de 2025 y enero de 2026, el grupo incorporó una Ecosystem Vault en Drift, realizó múltiples sesiones de trabajo con colaboradores, depositó más de $1 millón de su propio capital y construyó una presencia operativa funcional dentro del ecosistema.
Los colaboradores de Drift se reunieron cara a cara con individuos del grupo en múltiples conferencias importantes de la industria en varios países durante febrero y marzo. Para cuando el ataque se lanzó el 1 de abril, la relación ya tenía casi medio año.
La intrusión parece haber llegado a través de dos vectores.
Uno descargó una aplicación TestFlight, la plataforma de Apple para distribuir apps en fase previa que elude la revisión de seguridad de la App Store, que el grupo presentó como su producto de billetera.
Para el vector del repositorio, Drift señaló una vulnerabilidad conocida en VSCode y Cursor, dos de los editores de código más utilizados en el desarrollo de software, que la comunidad de seguridad había estado señalando desde finales de 2025. Allí, con solo abrir un archivo o una carpeta en el editor bastaba para ejecutar silenciosamente código arbitrario sin ningún aviso ni advertencia.
Una vez que los dispositivos quedaron comprometidos, los atacantes ya tenían lo que necesitaban para obtener las dos aprobaciones multisig que habilitaron el ataque de nonce duradero que CoinDesk detalló anteriormente esta semana. Esas transacciones prefirmadas permanecieron inactivas durante más de una semana antes de ejecutarse el 1 de abril, drenando $270 millones de las bóvedas del protocolo en menos de un minuto.
La atribución apunta a UNC4736, un grupo afiliado al Estado norcoreano también rastreado como AppleJeus o Citrine Sleet, según los flujos de fondos on-chain que se remontan a los atacantes de Radiant Capital y el solapamiento operativo con identidades vinculadas a DPRK conocidas.
Las personas que aparecieron en persona en conferencias, sin embargo, no eran nacionales norcoreanos. Los actores de amenaza de la DPRK de este nivel se sabe que despliegan intermediarios de terceros con identidades totalmente construidas, historiales de empleo y redes profesionales diseñadas para resistir la diligencia debida.
Drift instó a otros protocolos a auditar los controles de acceso y a tratar todo dispositivo que interactúe con un multisig como un posible objetivo. La implicación más amplia resulta incómoda para una industria que confía en la gobernanza multisig como su modelo de seguridad principal.
Pero si los atacantes están dispuestos a invertir seis meses y un millón de dólares para construir una presencia legítima dentro de un ecosistema, reunirse con equipos en persona, aportar capital real y esperar, la pregunta es: ¿qué modelo de seguridad está diseñado para detectar eso?
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
El ejército de EE. UU. confirma operaciones de nodos de Bitcoin mientras múltiples naciones adoptan cripto para la diplomacia de Estado
Mensaje de Gate News, 26 de abril — El almirante Samuel Paparo, Jr., que lidera las fuerzas estadounidenses a través del Indo-Pacífico, dijo ante un panel del Senado que Bitcoin importa para la seguridad nacional. El Pentágono está ejecutando su propio nodo de Bitcoin y realizando pruebas operativas para asegurar y proteger redes usando el protocolo de Bitcoin, Paparo confirmó en una audiencia en la Cámara, el primer reconocimiento público por parte del ejército.
La admisión refleja un cambio geopolítico más amplio. Irán ahora acepta Bitcoin como pago por los barcos que atraviesan el Estrecho de Ormuz. Taiwán está sopesando Bitcoin como un activo de reserva en caso de que China actúe en contra de sus finanzas. Rusia anunció la semana pasada que aceptará Bitcoin para el comercio internacional a partir de julio. Lo que antes era una moneda digital marginal se está tratando cada vez más como una herramienta de política estatal.
La postura de China es la más complicada. Pekín prohibió Bitcoin y toda actividad cripto en 2021, citando daños ambientales, riesgos de fraude y flujos ilegales de dinero. Sin embargo, China ya tiene el segundo mayor acopio gubernamental de Bitcoin del mundo. En mayo de 2025, el Instituto Internacional de Moneda de China tradujo y compartió un informe del ex economista de la Casa Blanca Matthew Ferranti, en el que se argumenta que Bitcoin podría ayudar a los bancos centrales a protegerse contra la inflación, las sanciones y las crisis financieras, y se lo pasó a los responsables de políticas del Partido Comunista con una nota que decía que el auge de Bitcoin como activo de reserva "merece una atención continuada."
El signo más claro de las intenciones reales de China es una batalla legal con Washington por 127,000 Bitcoin valorados en aproximadamente mil millones de dólares, incautados por el Departamento de Justicia de EE. UU. a Chen Zhi, un multimillonario chino acusado de operar fraudes en todo el Sudeste Asiático. Funcionarios chinos sacaron a Chen de regreso a China en enero antes de que las autoridades estadounidenses pudieran detenerlo. Luego, Pekín acusó a Washington de robar el Bitcoin mediante un hack tan atrás como en 2020. Si China recupera las tenencias de Chen, controlaría aproximadamente 321,000 Bitcoin, muy por delante de Estados Unidos, que tiene 198,000.
Dos senadores estadounidenses están presionando para recortar la ventaja de China en el apartado de la minería. En marzo, los senadores Bill Cassidy, de Luisiana, y Cynthia Lummis, de Wyoming, presentaron el proyecto de ley "Mined in America" (Minado en América), que aborda el 97% del hardware de China usado en el 38% de la actividad global de minería de Bitcoin en EE. UU. Aproximadamente el 82% de la producción global de mineros especializados de chips está controlada por Bitmain. El proyecto de ley prohíbe que los mineros certificados compren cualquier hardware nuevo fabricado en China a partir del 1 de enero de 2027 y exige una transición completa fuera de ese hardware para 2030. Los mineros certificados pueden vender Bitcoin recién minado al Tesoro con una ventaja fiscal.
Mientras tanto, China está endureciendo sus reglas cripto. Ahora es ilegal promocionar criptomonedas en línea en cualquier plataforma, y la norma entra en vigor el 30 de septiembre.
GateNewshace2h
EE. UU. Sanciona Cartera Cripto Vinculada a Irán, Tether Congela $344 Millón USDT
Mensaje de Gate News, 26 de abril — El gobierno federal de EE. UU. sancionó varias carteras vinculadas a Irán el 25 de abril, y el secretario del Tesoro, Scott Bessent, anunció la medida como parte de los esfuerzos para aumentar la presión económica sobre el país en medio de un alto el fuego en curso. Las sanciones llegaron un día después
GateNewshace5h
Trump dice que Irán debería actuar con prudencia, pero que EE. UU. ganará de todos modos
Mensaje de Gate News, 26 de abril — En una entrevista el 26 de abril, el presidente de EE. UU., Trump, comentó la situación en Irán, afirmando que la mayor ventaja de Estados Unidos es haber destruido la marina y la fuerza aérea de Irán, y que el liderazgo de Irán ahora ha sido reemplazado. Trump señaló que el liderazgo iraní actual es mixto: algunos son racionales, otros no tanto, y
GateNewshace6h
Major Central Bank Decisions and Tech Earnings Set to Drive Markets Next Week
Gate News message, April 26 — Next week brings a super central bank week and earnings season, with the Federal Reserve, Bank of Japan, Bank of England, European Central Bank, and Bank of Canada all set to announce interest rate decisions. The Federal Reserve will release its rate decision at 2 a.m.
GateNewshace8h
Trump Insta al Primer Ministro del Reino Unido a Restablecer la Navegación del Estrecho de Ormuz mientras Irán Advierte un Cambio Permanente
Mensaje de Gate News, 26 de abril — El presidente de EE. UU. Donald Trump habló con el primer ministro del Reino Unido Keir Starmer para analizar la situación en curso en Oriente Medio y enfatizó la "urgente necesidad de restablecer la navegación a través del Estrecho de Ormuz."
Starmer señaló que semanas de bloqueo han dejado a numerosos miembros de la tripulación varados en la región del Golfo.
GateNewshace8h
Vietnam lanzará la primera plataforma de negociación de cripto reguladas con un programa piloto de 5 años
Mensaje de Gate News, 26 de abril: el gobierno de Vietnam planea lanzar un programa piloto de cinco años para criptoactivos regulados en el segundo trimestre de 2026, pasando el comercio de criptomonedas previamente en el extranjero y no regulado a un mercado regulado a nivel nacional, según BlockBeats.
Los comerciantes de Vietnam
GateNewshace10h
