El hackeo de $285M en Drift vinculado al grupo norcoreano UNC4736
Last Updated on 5 abril 2026 by CryptoTips.eu
El hackeo a Drift Protocol resulta no ser un ataque oportunista, sino una operación cuidadosamente orquestada durante seis meses. El 1 de abril de 2026, $285 millones desaparecen de los vaults del protocolo basado en Solana. Drift comparte ahora los primeros hallazgos forenses, y son profundamente alarmantes.
Seis meses encubiertos como socio comercial
Todo comienza en otoño de 2025, cuando un grupo de individuos se presenta en una importante conferencia de criptomonedas como empleados de una firma de trading cuantitativo. Se acercan a los contribuidores de Drift de forma dirigida y personal, estableciendo contacto en múltiples conferencias internacionales y construyendo una relación comercial creíble durante meses. A través de Telegram, mantienen conversaciones sustanciales sobre estrategias de trading e integraciones de vaults. Entre diciembre de 2025 y enero de 2026, llegan incluso a abrir un Ecosystem Vault en la plataforma y depositan más de $1 millón de su propio capital, únicamente para generar confianza.
Lo que hace el ataque especialmente peligroso es el uso de herramientas de trabajo cotidianas como vector de ataque. Los atacantes comparten enlaces a supuestos repositorios de proyectos y aplicaciones. Un contribuidor queda comprometido tras clonar un repositorio que el grupo comparte para un despliegue de frontend. Una vulnerabilidad conocida en VSCode y Cursor permite ejecutar código arbitrario con solo abrir un archivo, sin ningún tipo de advertencia ni confirmación. Un segundo contribuidor descarga una aplicación TestFlight maliciosa que el grupo presenta como su propio producto de wallet. En el momento del exploit, todos los chats de Telegram y el software malicioso son completamente eliminados.
La pista norcoreana apunta a un grupo de amenaza conocido
Con «confianza media-alta», Drift vincula el ataque a UNC4736, un grupo de hackers afiliado al Estado norcoreano, también conocido como AppleJeus o Citrine Sleet. Este mismo grupo es responsable del hackeo a Radiant Capital en octubre de 2024. La conexión es rastreable tanto onchain a través de los flujos de fondos como operacionalmente a través de perfiles de actores que se superponen. Es destacable que los individuos presentes en persona en las conferencias no eran ciudadanos norcoreanos. Los grupos DPRK que operan a este nivel son conocidos por usar intermediarios externos para los contactos cara a cara.
Drift pide a todos los equipos del ecosistema DeFi que auditen los derechos de acceso y traten cada dispositivo que toque un multisig como un objetivo potencial. Todas las funciones del protocolo están congeladas y las wallets comprometidas han sido eliminadas del multisig. Para los equipos que crean estar siendo atacados, Drift aconseja contactar de inmediato con SEAL 911. Las cold wallets de todos los firmantes del multisig permanecieron seguras durante todo el ataque.
