Drift afirma que el exploit de 270 millones de dólares fue una operación de inteligencia norcoreana de seis meses

Una operación de inteligencia de seis meses precedió al exploit de $270 millones del protocolo Drift y fue llevada a cabo por un grupo afiliado al Estado norcoreano, según un detallado informe de incidente publicado por el equipo el domingo anterior.

Los atacantes primero hicieron contacto alrededor de otoño de 2025 en una importante conferencia de criptomonedas, presentándose como una firma de trading cuantitativo que buscaba integrarse con Drift.

Eran técnicamente competentes, tenían antecedentes profesionales verificables y entendían cómo funcionaba el protocolo, dijo Drift. Se estableció un grupo de Telegram y lo que siguieron fueron meses de conversaciones sustanciales sobre estrategias de trading e integraciones de bóvedas, interacciones que son habituales para que las firmas de trading incorporen protocolos DeFi.

Entre diciembre de 2025 y enero de 2026, el grupo incorporó una Ecosystem Vault en Drift, realizó múltiples sesiones de trabajo con colaboradores, depositó más de $1 millón de su propio capital y construyó una presencia operativa funcional dentro del ecosistema.

Los colaboradores de Drift se reunieron cara a cara con individuos del grupo en múltiples conferencias importantes de la industria en varios países durante febrero y marzo. Para cuando el ataque se lanzó el 1 de abril, la relación ya tenía casi medio año.

La intrusión parece haber llegado a través de dos vectores.

Uno descargó una aplicación TestFlight, la plataforma de Apple para distribuir apps en fase previa que elude la revisión de seguridad de la App Store, que el grupo presentó como su producto de billetera.

Para el vector del repositorio, Drift señaló una vulnerabilidad conocida en VSCode y Cursor, dos de los editores de código más utilizados en el desarrollo de software, que la comunidad de seguridad había estado señalando desde finales de 2025. Allí, con solo abrir un archivo o una carpeta en el editor bastaba para ejecutar silenciosamente código arbitrario sin ningún aviso ni advertencia.

Una vez que los dispositivos quedaron comprometidos, los atacantes ya tenían lo que necesitaban para obtener las dos aprobaciones multisig que habilitaron el ataque de nonce duradero que CoinDesk detalló anteriormente esta semana. Esas transacciones prefirmadas permanecieron inactivas durante más de una semana antes de ejecutarse el 1 de abril, drenando $270 millones de las bóvedas del protocolo en menos de un minuto.

La atribución apunta a UNC4736, un grupo afiliado al Estado norcoreano también rastreado como AppleJeus o Citrine Sleet, según los flujos de fondos on-chain que se remontan a los atacantes de Radiant Capital y el solapamiento operativo con identidades vinculadas a DPRK conocidas.

Las personas que aparecieron en persona en conferencias, sin embargo, no eran nacionales norcoreanos. Los actores de amenaza de la DPRK de este nivel se sabe que despliegan intermediarios de terceros con identidades totalmente construidas, historiales de empleo y redes profesionales diseñadas para resistir la diligencia debida.

Drift instó a otros protocolos a auditar los controles de acceso y a tratar todo dispositivo que interactúe con un multisig como un posible objetivo. La implicación más amplia resulta incómoda para una industria que confía en la gobernanza multisig como su modelo de seguridad principal.

Pero si los atacantes están dispuestos a invertir seis meses y un millón de dólares para construir una presencia legítima dentro de un ecosistema, reunirse con equipos en persona, aportar capital real y esperar, la pregunta es: ¿qué modelo de seguridad está diseñado para detectar eso?