Brecha de $280M en Drift Protocol: Meses de Preparación Deliberada

Drift Protocol, el exchange descentralizado, afirma que su última brecha no fue un incidente aleatorio sino una operación de seis meses altamente coordinada llevada a cabo por una red estructurada de actores de amenazas. La evaluación preliminar de la empresa describe el ataque como una campaña de estilo de inteligencia que requirió respaldo organizacional, recursos sustanciales y meses de preparación deliberada. Las estimaciones externas sitúan las pérdidas en aproximadamente $280 millones.

Drift rastreó el plan hasta octubre de 2025, cuando los atacantes, haciéndose pasar por una empresa de trading cuantitativo, se acercaron a los colaboradores de Drift en una importante conferencia de criptomonedas y señalaron un interés en integrarse con el protocolo. Durante los siguientes seis meses, el grupo involucró a los colaboradores de Drift en persona en múltiples eventos de la industria. Drift describió el enfoque como dirigido: los individuos del grupo parecían técnicamente fluidos, tenían antecedentes profesionales verificables y estaban familiarizados con cómo operaba Drift. Los atacantes aprovecharon las reuniones en persona para generar confianza, luego usaron cargas útiles y herramientas basadas en enlaces compartidos para comprometer los dispositivos de los colaboradores, habilitando el exploit antes de borrar sus rastros.

Puntos clave

• La brecha de Drift Protocol se describe como una operación coordinada de seis meses con una estimación de pérdida externa cercana a los $280 millones.
• La investigación apunta a una campaña de reclutamiento en persona en la era de conferencias, comenzando alrededor de octubre de 2025, dirigida a colaboradores de Drift.
• Los atacantes obtuvieron acceso a través de dispositivos comprometidos mediante enlaces y herramientas maliciosos, luego eliminaron cualquier rastro de su actividad después de la ejecución.
• Drift afirma un posible vínculo con el hack de Radiant Capital de octubre de 2024, sugiriendo que los mismos actores pueden estar involucrados, aunque la atribución sigue siendo matizada.
• Radiant Capital describió el incidente de 2024 como malware entregado vía Telegram por un hacker alineado con Corea del Norte que se hacía pasar por un ex-contratista; Drift advierte que los individuos vistos en persona no eran nacionales norcoreanos.
• El caso subraya los riesgos de seguridad continuos en las conferencias de criptomonedas y la necesidad de una diligencia elevada al interactuar con colaboradores externos.

Cronología en desarrollo: de la curiosidad en conferencias al exploit

El relato de Drift indica que los atacantes comenzaron su compromiso en una reunión prominente de la industria, presentándose como socios de integración potenciales en lugar de atacantes directos. Durante los meses siguientes, el grupo se reunió con colaboradores de Drift en varios eventos, construyendo cuidadosamente relaciones y demostrando una comprensión técnica creíble de las operaciones de Drift. Esta fase ayudó a los atacantes a obtener acceso a canales internos y comunicaciones de confianza, que luego se convirtieron en el conducto para el exploit mismo.

Según Drift, la operación fue estructurada deliberadamente, con respaldo organizado y recursos que permitieron a los atacantes mantener una campaña prolongada. Los atacantes finalmente desplegaron herramientas y enlaces maliciosos a través de los dispositivos comprometidos de los colaboradores de Drift, habilitando la brecha. Después del exploit, los intrusos supuestamente borraron sus huellas digitales, complicando la respuesta al incidente y el trabajo forense para Drift y sus socios.

La brecha sirve como un recordatorio aleccionador para los participantes en el espacio cripto: incluso las interacciones cara a cara en conferencias, a menudo vistas como oportunidades de networking, pueden aprovecharse como vectores para actores de amenazas sofisticados y bien financiados. La dinámica subraya la importancia de una higiene estricta de dispositivos, prácticas de seguridad en capas y colaboración cautelosa con terceros en un sector donde el tejido de confianza está estrechamente tejido con la interoperabilidad.

Vínculo con Radiant Capital: una posible línea conductora, con advertencias importantes

Drift dijo que tiene una confianza de alta a media-alta de que el mismo grupo detrás del hack de Radiant Capital de octubre de 2024 puede estar conectado con el incidente de Drift. La brecha de Radiant Capital fue revelada en diciembre de 2024, con la empresa describiendo la intrusión como malware entregado vía Telegram por un actor alineado con Corea del Norte que se hacía pasar por un ex-contratista. En ese caso, un archivo ZIP compartido para retroalimentación entre desarrolladores supuestamente entregó el malware que habilitó la intrusión.

Drift enfatizó que los individuos que aparecieron en persona en las conferencias no eran nacionales norcoreanos. La empresa también señaló que los actores de amenazas vinculados a RPDC son conocidos por usar intermediarios de terceros para llevar a cabo la construcción de relaciones cara a cara, un patrón observado en otros casos también. La conexión sigue siendo un asunto de investigación en curso, y la atribución en incidentes cibernéticos complejos a menudo evoluciona a medida que sale a la luz nueva evidencia.

Para contexto, el incidente de Radiant Capital destacó cómo la ingeniería social y las cargas útiles remotas pueden converger con la construcción de confianza en persona para vulnerar incluso sistemas sofisticados. La convergencia de estas narrativas —reclutamiento basado en conferencias, malware entregado a través de dispositivos comprometidos y vínculos con hacks previos de alto perfil— será examinada por los investigadores mientras reconstruyen la cadena completa de eventos que rodean la brecha de Drift.

Investigación en curso e implicaciones para la industria

Drift dijo que está cooperando con las fuerzas del orden y otros participantes de la industria para ensamblar una imagen completa de lo que sucedió durante el ataque del 1 de abril. La divulgación de la empresa subraya la necesidad continua de colaboración entre industrias en inteligencia de amenazas, respuesta a incidentes y forenses posteriores a la brecha. Aunque Drift no ha divulgado todos los detalles técnicos específicos del compromiso, el énfasis en un esfuerzo prolongado y coordinado apunta a un nivel de sofisticación que se extiende más allá de intrusiones oportunistas.

Para inversores y constructores en el espacio DeFi, el incidente de Drift refuerza varias conclusiones prácticas. Primero, incluso los colaboradores de larga data y las relaciones de confianza no son inmunes a la manipulación cuando los atacantes combinan tácticas en persona con exploits técnicos. Segundo, la atribución en campañas sofisticadas puede ser ambigua, requiriendo revisiones cuidadosas basadas en evidencia en lugar de conclusiones prematuras. Finalmente, el episodio destaca la necesidad continua de arquitecturas de seguridad robustas que puedan detectar y contener intrusiones de múltiples etapas, incluidas credenciales comprometidas, puntos de apoyo a nivel de dispositivo y rastros posteriores a la explotación.

A medida que se desarrolla la investigación, los lectores deben estar atentos a cualquier actualización sobre los métodos de los atacantes, nuevos indicadores de compromiso y cualquier cambio programático en cómo Drift y otros protocolos abordan la incorporación de colaboradores, integraciones de socios y manuales de respuesta a incidentes. La convergencia de un enfoque de varios meses basado en conferencias con un vínculo potencial con brechas previas de alto perfil enfatiza un panorama de riesgo más amplio que enfrentan las plataformas descentralizadas a medida que escalan y colaboran a través del ecosistema.

Lo que permanece incierto es el alcance completo del impacto de la brecha en los usuarios y la liquidez de Drift, qué tan rápido se recuperará operativamente la plataforma, y si casos adicionales de atribución remodelarán la comprensión de los patrones de actores de amenazas en el espacio DeFi. Las próximas semanas serán fundamentales tanto para la transparencia como para la postura de seguridad en una industria que cada vez depende más de la colaboración abierta y las asociaciones transfronterizas para innovar.

Mirando hacia adelante, los participantes del mercado querrán monitorear las actualizaciones de Drift y de investigadores de seguridad relacionados para cualquier nuevo hallazgo sobre actores, herramientas y las implicaciones más amplias para la gobernanza de DeFi, gestión de riesgos y prácticas de colaboración basadas en conferencias.

Este artículo fue publicado originalmente como Brecha de $280M en Drift Protocol: Meses de Preparación Deliberada en Crypto Breaking News, su fuente confiable para noticias de criptomonedas, noticias de Bitcoin y actualizaciones de blockchain.