Un ataque de ingeniería social durante 6 meses permitió a delincuentes robar 285 millones de dólares del protocolo Drift (Solana) el 1 de abril de 2026, tras ganarse la confianza del equipo mediante reuniones presenciales, depósitos de fondos y suplantación de una empresa legítima. Los atacantes, vinculados al Grupo Lazarus (Corea del Norte), explotaron vulnerabilidades en contratos inteligentes y herramientas como VS Code para obtener firmas digitales y autorizar el robo. Drift colabora con autoridades y forenses para rastrear los fondos, mientras el ecosistema cripto alerta sobre riesgos similares.

Drift Protocol, un exchange descentralizado, basado en la red Solana, que se centra en la negociación de futuros, se vio comprometido debido a un exploit que permitió a los atacantes acceder a una cantidad significativa de fondos. Este tipo de incidentes no son nuevos en el espacio cripto, pero su magnitud resalta la vulnerabilidad de plataformas emergentes que aún no han consolidado sus medidas de seguridad.

El primero de abril delincuentes robaron 285 millones de dólares de Drift Protocol. No fue un error del código, sino un ataque extremadamente bien planeado que duró seis meses.

El ataque fue sofisticado, utilizando técnicas que permitieron el acceso a contratos inteligentes vulnerables. Aunque los detalles técnicos aún se están investigando, es evidente que este tipo de robo representa una amenaza existencial para muchos proyectos en la blockchain. Algunos de los puntos clave del incidente incluyen:

• Explotación de un contrato inteligente vulnerable.
• Transferencia masiva de activos a billeteras no identificadas.
• Reacciones inmediatas de la comunidad y los desarrolladores del protocolo.

Los atacantes se hicieron pasar por una empresa de inversiones legítima. Durante meses, asistieron a conferencias, se reunieron en persona con el equipo de Drift y hasta depositaron más de un millón de dólares en la plataforma para ganarse su confianza. Una vez dentro, combinaron ingeniería social (engaños a los empleados) con una función especial de la red Solana para obtener las firmas digitales de los administradores y así autorizar el robo.

Investigación en curso

La investigación preliminar muestra que Drift fue víctima de una operación de inteligencia estructurada que requirió respaldo organizacional, recursos significativos y meses de preparación minuciosa.

Estado actual

Todas las funciones restantes del protocolo se han congelado y las carteras comprometidas se han eliminado de la multifirma. Las carteras del atacante se han marcado en los exchanges y operadores de puente.

Un ataque que se gestó durante 6 meses

En otoño de 2025, aproximadamente, un grupo de personas que se presentaron como una empresa de trading cuantitativo interesada en integrarse en el protocolo Drift se puso en contacto con colaboradores de Drift durante una importante conferencia sobre criptomonedas. Ahora se entiende que este enfoque fue dirigido, ya que los miembros de este grupo continuaron buscando y contactando deliberadamente a colaboradores específicos de Drift, en persona, en varias conferencias importantes del sector en diferentes países durante los seis meses siguientes.

Tenían un alto nivel técnico, una trayectoria profesional verificable y estaban familiarizados con el funcionamiento de Drift. Se creó un grupo de Telegram tras la primera reunión, y a continuación se sucedieron meses de conversaciones sustanciales sobre estrategias de trading y posibles integraciones de bóvedas. Estas interacciones son típicas de cómo las empresas de trading interactúan e integran Drift.

Entre diciembre de 2025 y enero de 2026, integraron una Bóveda del Ecosistema en Drift, lo que requirió completar un formulario con los detalles de la estrategia. Colaboraron en múltiples sesiones de trabajo, formularon preguntas detalladas e informadas sobre el producto y depositaron más de un millón de dólares de su propio capital. Construyeron una presencia operativa funcional dentro del ecosistema de Drift de forma deliberada y paciente.

Las conversaciones de integración continuaron durante febrero y marzo de 2026. Varios colaboradores de Drift se reunieron nuevamente, cara a cara, con miembros de este grupo en importantes conferencias del sector. Para entonces, la relación ya tenía casi medio año. No eran desconocidos; eran personas con las que los colaboradores de Drift habían trabajado y a las que habían conocido personalmente.

Durante todo este proceso, se compartieron enlaces a proyectos, herramientas y aplicaciones que afirmaban estar desarrollando, lo cual era una práctica habitual en las empresas de trading.

Tras el ataque del 1 de abril, se llevó a cabo un análisis forense exhaustivo de los dispositivos, cuentas e historiales de comunicación afectados. Las interacciones con este grupo de trading se identificaron como el probable vector de intrusión. Justo cuando se produjo el ataque, sus chats de Telegram y el software malicioso habían sido eliminados por completo.

La investigación continúa y estos hallazgos son preliminares, pero se presentan con el fin de proporcionar a la comunidad la mejor información disponible.

Mecanismos potenciales de la infiltración

Creemos que pudo haber tres vectores de ataque:

• Un colaborador pudo haber sido comprometido tras clonar un repositorio de código compartido por el grupo bajo el pretexto de implementar una interfaz para su bóveda.
• Un segundo colaborador fue inducido a descargar una aplicación de TestFlight que el grupo presentó como su producto de billetera.
• En cuanto al vector basado en el repositorio, una posibilidad es una vulnerabilidad conocida de VS Code y Cursor que la comunidad de seguridad estuvo alertando activamente entre diciembre de 2025 y febrero de 2026. Simplemente abrir un archivo, carpeta o repositorio en el editor era suficiente para ejecutar código arbitrario silenciosamente, sin aviso ni indicación al usuario, clics, diálogos de permisos ni advertencia de ningún tipo. La divulgación técnica completa se puede encontrar aquí.

El análisis forense completo del hardware afectado está en curso y se compartirán más detalles.

Atribución

Con un nivel de confianza medio-alto, respaldado por las investigaciones, se estima que esta operación fue llevada a cabo por los mismos actores de amenazas responsables del hackeo de Radiant Capital en octubre de 2024, atribuido por Mandiant a UNC4736, un grupo afiliado al Estado norcoreano también conocido como AppleJeus o Citrine Sleet. Esta conexión se basa tanto en la cadena de bloques (los flujos de fondos utilizados para planificar y probar esta operación se remontan a los atacantes de Radiant) como en la operativa (las identidades desplegadas en esta campaña presentan coincidencias identificables con actividades conocidas vinculadas a la RPDC).

Es importante destacar que las personas que se presentaron en persona no eran ciudadanos norcoreanos. Se sabe que los actores de amenazas de la RPDC que operan a este nivel utilizan intermediarios para establecer relaciones cara a cara.

Mandiant no ha atribuido formalmente esta vulnerabilidad de Drift. Dicha determinación requiere un análisis forense completo de los dispositivos, que aún está en curso.

Conclusión

La investigación ha demostrado hasta el momento que los perfiles utilizados en esta operación dirigida a terceros tenían identidades completamente construidas, incluyendo historiales laborales, credenciales públicas y redes profesionales. Las personas con las que los colaboradores de Drift se reunieron personalmente parecían haber dedicado meses a crear perfiles, tanto personales como profesionales, capaces de resistir un escrutinio durante una relación comercial o con contrapartes.

Drift continúa trabajando en las investigaciones. Esta actualización se comparte para ayudar al ecosistema a mitigar los riesgos. Por favor, revisen sus equipos, auditen quién tiene acceso a qué y consideren cada dispositivo que interactúe con su multifirma como un objetivo potencial.

Se compartirá más información a medida que avance la investigación.

Fuente: Drift Protocol