TL;DR

  • Drift Protocol confirma que el ataque del 1 de abril de 2026 fue una operación de inteligencia norcoreana coordinada que duró aproximadamente seis meses.
  • Los atacantes se hicieron pasar por representantes de una firma de trading cuantitativo y se reunieron en persona con colaboradores de Drift en varios países.
  • Depositaron un millón de dólares en capital propio para parecer legítimos, y luego esperaron meses antes de atacar.
  • En total, se robaron aproximadamente entre 270 y 286 millones de dólares en diversas criptomonedas en lo que se considera el mayor hackeo DeFi del año.

Una Operación a la Sombra de las Conferencias Cripto

Drift Protocol, un exchange descentralizado construido sobre la blockchain de Solana, reveló el viernes que el ataque que afectó al protocolo el 1 de abril no fue un ataque tradicional de contrato inteligente, sino el resultado de una operación de inteligencia de seis meses, según CoinDesk.

Los atacantes comenzaron los preparativos ya en octubre de 2025. Se hicieron pasar por representantes de una firma de trading cuantitativo y contactaron a colaboradores de Drift en importantes conferencias de criptomonedas en varios países. Las reuniones se llevaron a cabo cara a cara, lo que otorgó credibilidad a los actores y les dio acceso a personal clave del proyecto.

Para reforzar la ilusión de legitimidad, el grupo llegó a depositar un millón de dólares de sus propios fondos en el protocolo. Luego esperaron.

Los atacantes depositaron un millón de dólares de sus propios fondos y esperaron medio año, todo para generar confianza antes de atacar.
Corea del Norte Engañó a Drift Durante Seis Meses – Robó 270 Millones de Dólares

No fue un Error de Código, sino un Fallo Humano

El ataque no explotó una vulnerabilidad en los contratos inteligentes de Drift. Según los propios análisis de Drift y los datos de empresas de seguridad blockchain como TRM Labs y Elliptic, los atacantes combinaron ingeniería social avanzada con un método técnico basado en los llamados “durable nonces” (nonces duraderos), un mecanismo que les permitió eludir las medidas de seguridad del protocolo y ejecutar transacciones pre-firmadas.

Al comprometer dispositivos pertenecientes a colaboradores de Drift —probablemente a través de enlaces o herramientas maliciosas—, lograron obtener control administrativo sobre el consejo de seguridad del protocolo y manipular la estructura multisig. Además, se dice que un token fabricado llamado CarbonVote Token (CVT) fue utilizado para la manipulación de oráculos.

La presidenta de la Fundación Solana, Lily Liu, subrayó posteriormente que los contratos inteligentes en sí mismos resistieron; la vulnerabilidad residía en las capas administrativas que rodeaban el protocolo, no en el código.

Corea del Norte Engañó a Drift Durante Seis Meses – Robó 270 Millones de Dólares

Vinculado a Anteriores Ataques Norcoreanos

Drift afirma que vincula la operación con “confianza media a alta” a los mismos actores detrás del hackeo de Radiant Capital en octubre de 2024, un incidente que anteriormente se atribuyó al grupo de amenazas norcoreano UNC4736, también conocido como AppleJeus o Citrine Sleet. Los analistas de blockchain de Elliptic describen “varios indicadores” que apuntan a la República Popular Democrática de Corea (RPDC).

Se estimó que los hackers vinculados a Corea del Norte fueron responsables en 2025 del robo de más de dos mil millones de dólares del sector cripto a nivel global, casi el 60 por ciento de todos los fondos robados ese año, según los datos disponibles de la industria.

Según datos de la industria, los actores vinculados a Corea del Norte fueron responsables de más de 2 mil millones de dólares en robos de criptomonedas solo en 2025.

Investigación y Medidas de Respuesta

Tras el ataque, Drift cerró inmediatamente todos los depósitos y retiros, y congeló las demás funciones del protocolo. La empresa ahora colabora con firmas de seguridad como Mandiant y SEAL 911, así como con autoridades policiales y exchanges de criptomonedas, para rastrear y congelar los fondos robados. Las billeteras comprometidas han sido eliminadas de la estructura multisig.

Se ha publicado un informe preliminar del incidente, y Drift ha prometido una investigación más exhaustiva. El abogado de criptomonedas Ariel Givner ha sugerido, según CoinDesk, que el incidente podría considerarse negligencia civil, dadas las supuestas debilidades en las prácticas de seguridad básicas.

El caso ilustra un giro inquietante en el patrón de ataques contra el sector DeFi: de explotar vulnerabilidades de código a atacar sistemáticamente a las personas y las estructuras administrativas detrás de los protocolos.