¿Qué ocurrió en el hack de Drift Protocol?

Drift Protocol sufrió un robo de más de 280 millones de dólares tras un ataque sofisticado que permitió a los hackers acceder a privilegios administrativos.

¿Cómo lograron los atacantes infiltrarse en Drift?

Los atacantes se hicieron pasar por una firma de trading y establecieron relaciones con colaboradores durante meses mediante eventos y comunicación directa.

¿Quién está detrás del ataque a Drift?

Firmas de seguridad atribuyen el ataque a hackers vinculados a Corea del Norte, posiblemente el grupo UNC4736 relacionado con Lazarus.

¿Qué técnicas utilizaron en el ataque?

Utilizaron ingeniería social, repositorios maliciosos, posibles exploits en entornos de desarrollo y aplicaciones falsas para comprometer a sus víctimas.

¿Por qué este ataque es especialmente peligroso?

Porque combina infiltración humana, confianza a largo plazo y acceso interno, lo que lo hace difícil de detectar y prevenir.

El sorprendente Robo de Criptomonedas valoradas en 280 millones a Drift | Noticias Hacking y Seguridad Informática

El reciente robo de más de 280 millones de dólares a Drift Protocol no fue un ataque común, sino una operación altamente sofisticada que se desarrolló durante al menos seis meses.

La plataforma, basada en Solana, confirmó que los atacantes lograron infiltrarse en su ecosistema creando una presencia operativa real, interactuando directamente con colaboradores y ganándose su confianza antes de ejecutar el golpe.

Saber Más..

Infiltración en eventos y contacto directo con las víctimas

Según la investigación, los atacantes se hicieron pasar por una firma de trading cuantitativo y establecieron contacto con miembros del equipo de Drift en conferencias del sector cripto en distintos países.

Durante meses, mantuvieron comunicación activa con sus objetivos a través de Telegram, discutiendo integraciones técnicas y estrategias de trading, en interacciones que parecían completamente legítimas.

Este enfoque basado en ingeniería social avanzada permitió a los atacantes posicionarse dentro del entorno de confianza del proyecto.

Ejecución del ataque en minutos

El 1 de abril, Drift detectó actividad sospechosa que rápidamente se confirmó como un ataque en curso.

En aproximadamente 12 minutos, los atacantes lograron drenar fondos de usuarios tras obtener acceso a privilegios administrativos del Security Council.

Aunque el vector exacto no ha sido confirmado, se barajan varias posibilidades:

Repositorios de código malicioso compartidos con desarrolladores
Posible explotación de entornos como VSCode o Cursor
Aplicaciones falsas distribuidas mediante TestFlight simulando wallets

Vinculación con hackers norcoreanos

Firmas de inteligencia blockchain como Elliptic y TRM Labs atribuyen el ataque a actores vinculados a Corea del Norte.

Concretamente, se sospecha del grupo UNC4736, también conocido como AppleJeus o Labyrinth Chollima, asociado previamente con operaciones del grupo Lazarus.

Este grupo ha estado detrás de ataques relevantes como:

El ataque a la cadena de suministro de 3CX en 2023
El robo de 50 millones a Radiant en 2024
Explotaciones zero-day en navegadores

Un nuevo nivel en ataques a plataformas cripto

Uno de los aspectos más preocupantes del incidente es el uso de intermediarios no coreanos en eventos presenciales, lo que añade una capa adicional de sofisticación y dificulta la atribución directa.

El caso demuestra una evolución clara en los ataques contra el ecosistema cripto, donde la ingeniería social prolongada y la infiltración humana juegan un papel clave.

Actualmente, Drift mantiene sus operaciones congeladas mientras continúa la investigación, y las direcciones vinculadas al ataque han sido marcadas para evitar el movimiento de fondos.

Vistas: 7

Infiltración en eventos y contacto directo con las víctimas

Ejecución del ataque en minutos

Vinculación con hackers norcoreanos

Un nuevo nivel en ataques a plataformas cripto

🔥 LO MÁS VISTO DE ESTA CATEGORÍA