Investigación preliminar del incidente del hacker Drift: una organización presuntamente vinculada a Corea del Norte planeó una operación de infiltración de seis meses

Mensajes de BlockBeats, 5 de abril, según información oficial, Drift afirma que está colaborando con las autoridades encargadas de hacer cumplir la ley, socios de análisis forense y el equipo del ecosistema para realizar una investigación integral del incidente de piratería ocurrido el 1 de abril de 2026. En este momento, todas las funcionalidades de los protocolos han sido suspendidas; las carteras afectadas se han eliminado de los multisig, y las direcciones del atacante también han sido marcadas en la plataforma de trading y en los puentes entre cadenas. La empresa de seguridad Mandiant ya ha intervenido en la investigación. Los resultados preliminares indican que este ataque no fue una acción de corto plazo, sino una operación de infiltración de inteligencia que se prolongó durante aproximadamente 6 meses, con antecedentes organizados y respaldo de recursos suficientes. Ya en el otoño de 2025, un grupo de personas que se hacían pasar por empleados de empresas de trading cuantitativo contactaron a miembros del equipo de Drift en múltiples conferencias internacionales de criptografía, y después de eso continuaron construyendo relaciones y desarrollando colaboración durante varios meses, llegando incluso a invertir más de 1M de dólares en la plataforma para establecer credibilidad.

La investigación descubrió que estas personas contaban con antecedentes profesionales y capacidades técnicas, y se comunicaban durante mucho tiempo con el equipo por medio de grupos de Telegram sobre estrategias de trading e integración de productos, además de reunirse varias veces en persona con los contribuyentes clave. Tras el ataque del 1 de abril de 2026, los registros de chat relacionados y el malware se eliminaron rápidamente. Drift sostiene que esta intrusión podría haberse realizado por múltiples vías, incluida la inducción a que miembros del equipo clonaran repositorios que contenían código malicioso, o la descarga de aplicaciones de prueba disfrazadas como productos de billetera. Además, el ataque también pudo haber aprovechado vulnerabilidades de VSCode y Cursor que, en ese momento, la comunidad de seguridad ya había advertido, para ejecutar código malicioso sin que los usuarios lo percibieran.

Con base en el análisis de los flujos de fondos on-chain y los patrones de comportamiento, el equipo de seguridad determinó inicialmente que esta acción está relacionada con la organización de amenazas detrás del ataque de 2024 a Radiant Capital, a la que se atribuye a un grupo de hackers con vínculos con Corea del Norte (como UNC4736 / AppleJeus). Vale la pena destacar que las personas con las que hubo contacto en persona no eran norcoreanas, sino intermediarios de terceros. Drift afirma que los atacantes construyeron un sistema de identidad completo y creíble, que incluía historial profesional y antecedentes públicos, para obtener confianza mediante el contacto prolongado. En este momento, la investigación aún continúa; el equipo hace un llamado a que la industria refuerce la revisión de seguridad de dispositivos y la gestión de permisos.