Drift Protocol (DRIFT) publicó una actualización detallada del incidente el 5 de abril, revelando que el exploit de $285 millones del 1 de abril fue el resultado de una operación de inteligencia de seis meses atribuida a actores respaldados por el estado norcoreano.
La divulgación describe un nivel de ingeniería social que va mucho más allá de las típicas estafas de phishing o de reclutadores, involucrando reuniones en persona, despliegue de capital real y meses de construcción de confianza.
Una Firma de Trading Falsa que Jugó a Largo Plazo
Según Drift, un grupo que se hacía pasar por una firma de trading cuantitativo se acercó por primera vez a los colaboradores en una importante conferencia cripto en otoño de 2025.
Durante los meses siguientes, estos individuos aparecieron en múltiples eventos en varios países, realizaron sesiones de trabajo y mantuvieron conversaciones continuas en Telegram sobre integraciones de bóvedas.
Síguenos en X para obtener las últimas noticias en el momento que suceden
Entre diciembre de 2025 y enero de 2026, el grupo incorporó una Ecosystem Vault en Drift, depositó más de $1 millón en capital y participó en discusiones detalladas sobre productos.
Para marzo, los colaboradores de Drift habían conocido a estos individuos cara a cara en múltiples ocasiones.
Incluso los expertos en seguridad web encuentran esto preocupante, con la investigadora Tay compartiendo que inicialmente esperaba una estafa típica de reclutador, pero encontró la profundidad de la operación mucho más alarmante.
Cómo se Comprometieron los Dispositivos
Drift identificó tres posibles vectores de ataque:
- Un colaborador clonó un repositorio de código que el grupo compartió para un frontend de bóveda.
- Un segundo descargó una aplicación TestFlight presentada como un producto de wallet.
- Para el vector del repositorio, Drift señaló una vulnerabilidad conocida de VSCode y Cursor que los investigadores de seguridad habían estado señalando desde finales de 2025.
Esa falla permitió que código arbitrario se ejecutara silenciosamente en el momento en que se abría un archivo o carpeta en el editor, sin requerir interacción del usuario.
Después del vaciado del 1 de abril, los atacantes eliminaron todos los chats de Telegram y software malicioso. Desde entonces, Drift ha congelado las funciones restantes del protocolo y eliminado las wallets comprometidas del multisig.
El equipo SEALS 911 evaluó con confianza media-alta que los mismos actores de amenaza llevaron a cabo el hack de Radiant Capital de octubre de 2024, que Mandiant atribuyó a UNC4736.
Los flujos de fondos en cadena y las superposiciones operativas entre las dos campañas respaldan esa conexión.
La Industria Pide un Restablecimiento de Seguridad
Armani Ferrante, un destacado desarrollador de Solana, hizo un llamado a todos los equipos cripto para pausar los esfuerzos de crecimiento y auditar toda su pila de seguridad.
Drift señaló que los individuos que aparecieron en persona no eran ciudadanos norcoreanos. Se sabe que los actores de amenaza de la RPDC a este nivel despliegan intermediarios de terceros para el compromiso cara a cara.
Mandiant, al que Drift ha contratado para análisis forense de dispositivos, aún no ha atribuido formalmente el exploit.
La divulgación sirve como advertencia para el ecosistema más amplio. Drift instó a los equipos a auditar los controles de acceso, tratar cada dispositivo que toca un multisig como un objetivo potencial y contactar a SEAL 911 si sospechan de un objetivo similar.
La publicación El Robo de $285 Millones de Drift Protocol Comenzó con un Apretón de Manos y 6 Meses de Confianza apareció primero en BeInCrypto.
Fuente: https://beincrypto.com/drift-north-korea-spy-operation-hack/
