El complot de seis meses de la RPDC detrás del exploit de 285 millones de dólares de Drift conmociona a la comunidad criptográfica

Drift Protocol ha publicado una actualización detallada de los antecedentes tras el ataque del 1 de abril que provocó pérdidas por valor de más de 285 millones de dólares, en la que ofrece nuevos datos sobre cómo se orquestó el ataque y por qué su impacto fue mucho más allá de un único protocolo.

El incidente, vinculado ahora con "confianza media-alta" a un grupo de amenazas afiliado a un Estado norcoreano, no sólo ha suscitado serias dudas sobre las prácticas de seguridad operativa en DeFi, sino que también ha coincidido con un fuerte descenso del valor total bloqueado de Solana. En los días siguientes al ataque, Solana TVL cayó de 6.340 millones de dólares a 5.550 millones, lo que representa un descenso de aproximadamente el 12,5%.

Si se excluyen los fondos robados, el descenso neto de alrededor del 8% refleja un cambio significativo en la confianza de los usuarios, aunque sigue estando por debajo de las medias históricas observadas después de exploits importantes.

Una campaña de infiltración de seis meses

Según la actualización de Drift del 5 de abril, el exploit no fue el resultado de una única vulnerabilidad, sino de una operación estructurada que se desarrolló a lo largo de varios meses.

El ataque comenzó en otoño de 2025, cuando unos individuos que se hicieron pasar por una empresa de comercio cuantitativo se acercaron a los colaboradores de Drift en una conferencia sobre criptomonedas. Durante los seis meses siguientes, estos individuos mantuvieron un contacto constante, reuniéndose con los colaboradores en persona en múltiples eventos mundiales de la industria.

Demostraron sólidos conocimientos técnicos, presentaron antecedentes profesionales creíbles y entablaron conversaciones detalladas sobre estrategias comerciales e integraciones de bóvedas. Estas interacciones reflejaban el comportamiento típico de las empresas de negociación, lo que permitió que la relación se desarrollara sin levantar sospechas inmediatas.

Entre diciembre de 2025 y enero de 2026, el grupo profundizó su implicación incorporando una bóveda del ecosistema en Drift, participando en sesiones de trabajo y depositando más de 1 millón de dólares de capital en el protocolo. Esta actividad estableció la legitimidad operativa y reforzó aún más la confianza.

A lo largo de la relación, el grupo compartió enlaces a herramientas, aplicaciones y repositorios como parte de los flujos de trabajo de integración estándar. Estas interacciones se convirtieron más tarde en elementos centrales de la investigación.

Los probables vectores de ataque

Los resultados preliminares de Drift apuntan a dos vías principales de intrusión.

Un colaborador puede haber sido comprometido después de clonar un repositorio de código vinculado a un frontend de bóveda que los atacantes compartieron. Otro colaborador habría descargado una aplicación de TestFlight presentada como el producto de monedero del grupo.

Los investigadores de seguridad también han observado una posible conexión con una vulnerabilidad conocida que afectó a entornos de desarrollo como VSCode y Cursor a finales de 2025 y principios de 2026. Esta vulnerabilidad permitía la ejecución de código arbitrario simplemente abriendo un repositorio malicioso, sin requerir la interacción del usuario.

Tras el exploit, el análisis forense reveló que los canales de comunicación y el software malicioso de los atacantes se borraron rápidamente, lo que indica un esfuerzo coordinado para eliminar los rastros.

Evaluación de la amenaza y respuesta

Los investigadores, incluido el equipo SEAL 911, evaluaron con un nivel de confianza medio-alto que la operación comparte similitudes operativas y en la cadena con el ataque a Radiant Capital de octubre de 2024. Ese incidente se atribuyó previamente a UNC4736, un grupo afiliado al Estado norcoreano también conocido como AppleJeus o Citrine Sleet.

Drift aclaró que los individuos que se reunieron en persona con los colaboradores de Drift eran probablemente intermediarios y no miembros directos del grupo de la amenaza. Esto concuerda con las tácticas conocidas en las que actores vinculados al Estado recurren a terceros para establecer relaciones y ejecutar campañas de ingeniería social.

Mandiant ha sido contratado para llevar a cabo una investigación forense completa, aunque la atribución formal sigue pendiente.

Tras el ataque, Drift congeló todas las funciones de protocolo restantes y eliminó los monederos comprometidos de su multisig. El equipo también marcó las direcciones de los atacantes en las bolsas y los operadores de puentes para limitar el flujo de fondos.

El protocolo está trabajando actualmente con las fuerzas de seguridad para continuar la investigación y evaluar las opciones de recuperación.

Las reacciones del sector ponen de manifiesto los problemas de seguridad

El incidente suscitó comentarios generalizados de los líderes del sector, muchos de los cuales hicieron hincapié en la necesidad de reforzar las normas de seguridad operativa.

Lucas Bruder, cofundador y consejero delegado de Jito Labs, declaró que el suceso cambiaría el comportamiento del sector, y añadió que los participantes de la industria no han sido "lo bastante paranoicos".

Jacob Creech, Vicepresidente de Tecnología de la Fundación Solana, hizo hincapié en las estrictas prácticas de seguridad, aconsejando a los equipos que eviten instalar aplicaciones desconocidas, utilicen dispositivos de firma dedicados y reevalúen sus configuraciones actuales.

El cofundador de Solana , Anatoly Yakovenko, se hizo eco de esta opinión, calificando el ataque de "aterrador" y recomendando la separación física entre los entornos de desarrollo y de firma, incluyendo hardware dedicado para cada función.

Un investigador de onchain conocido como Tay señaló que los trabajadores informáticos norcoreanos han contribuido a la creación de protocolos criptográficos que se remontan al verano DeFi, citando SushiSwap, THORChain, Harmony, Ankr, Shib y Yearn.

Añadieron que las afirmaciones de "7 años de experiencia en desarrollo de blockchain" en los currículos de estos actores no deben descartarse como falsas.

Stepan Simkin, CEO de Squads Protocol, señaló la necesidad de normas formales de seguridad operativa, sugiriendo marcos similares a las auditorías de código o certificaciones SOC2 para la gestión de protocolos.

Debate sobre responsabilidad y negligencia

No todas las reacciones fueron favorables. Ariel Givner, experto jurídico, argumentó que el incidente puede constituir negligencia civil. Criticó la mezcla de actividades de desarrollo con el acceso a sistemas críticos, así como la falta de salvaguardias básicas, como entornos de firma herméticos.

Los comentarios de Givner reflejan un debate comunitario más amplio sobre la rendición de cuentas y sobre si los protocolos deben ser considerados responsables de fallos operativos evitables.

Por el contrario, Simon Dedic, fundador y socio gerente de Moonrock Capital, sugirió que la sofisticación de los atacantes dificultó enormemente la prevención una vez que Drift se convirtió en objetivo.

Un cambio de mentalidad más amplio en materia de seguridad

Otras voces situaron el incidente en un contexto industrial más amplio.

Lily Liu, Presidenta de la Solana Foundation, señaló que, aunque los contratos inteligentes funcionaron como se esperaba, los atacantes se centran cada vez más en las vulnerabilidades humanas en lugar de en el código.

Redwan Meslem, Director Ejecutivo de la Enterprise Ethereum Alliance, estableció comparaciones con industrias tradicionales como la aeroespacial y la bancaria, en las que los estrictos controles de acceso y los protocolos de seguridad son la norma. Sostuvo que las criptomonedas siguen operando con una cultura de seguridad de nivel de startup a pesar de gestionar un riesgo financiero significativo.

Mientras prosiguen las investigaciones, la lección más general sigue estando clara. La seguridad en DeFi debe ir más allá del código e incluir normas operativas rigurosas, entornos controlados y una reevaluación de cómo se establece la confianza en un panorama cada vez más adverso.

Más información en SolanaFloor

Titan Exchange promete un rendimiento 4 veces superior al de Binance gracias a su nuevo router DART
$BTC se mantiene en 69.000 $ mientras las conversaciones entre EE.UU. e Irán para un alto el fuego fracasan

Protocolo Drift hackeado por 285 millones de dólares