#DriftProtocolHacked

Una operación de inteligencia patrocinada por el estado disfrazada de apretón de manos en una conferencia de criptomonedas. La industria está conmocionada por uno de los ataques DeFi más sofisticados jamás registrados.

La magnitud de la brecha

Drift Protocol, el mayor exchange de futuros perpetuos en Solana, fue drenado de aproximadamente **$285 millones el 1 de abril de 2026**. El ataque no fue una vulnerabilidad en un contrato inteligente ni una clave robada, sino la culminación de una **operación de ingeniería social de seis meses** orquestada por **UNC4736 $285 Citrine Sleet/AppleJeus(**, un grupo patrocinado por el estado vinculado a Corea del Norte. Chainalysis ha declarado que, si se confirma, los robos de criptomonedas vinculados a Corea del Norte totalizarían al menos $10.58 billones de won a nivel mundial. La escala de la operación es asombrosa: el grupo estableció una identidad falsa de una firma de trading cuantitativo, depositó más de ) millones de su propio capital real y se reunió en persona con contribuyentes de Drift en conferencias en varios países antes de atacar.

---

Anatomía de un ataque patrocinado por el estado

Los atacantes comenzaron su operación en el otoño de 2025 en una importante conferencia de criptomonedas, donde se hicieron pasar por representantes de una firma de trading cuantitativo. Lo que siguió fue una campaña meticulosa y paciente de construcción de confianza que duró aproximadamente medio año.

· La fase de infiltración: Para diciembre de 2025 y enero de 2026, el grupo había incorporado una Ecosystem Vault en Drift, presentado documentación de estrategia, participado en múltiples sesiones de trabajo con contribuyentes y depositado más de $1 millones de su propio capital. Drift describió este comportamiento como completamente coherente con la forma en que las firmas de trading legítimas suelen integrarse con el protocolo.
· La capa humana: Durante febrero y marzo de 2026, los contribuyentes de Drift se reunieron cara a cara con miembros del grupo en varias conferencias importantes del sector en diferentes países. Para cuando se lanzó el ataque, estos ya no eran extraños, sino socios de trabajo establecidos con una relación de casi seis meses.
· Los vectores técnicos: Una vez establecida la confianza, el grupo desplegó un ataque de doble vía: uno involucraba una aplicación maliciosa de TestFlight $1 la plataforma de distribución de aplicaciones pre-lanzamiento de Apple( que evita la revisión de la App Store; el otro explotaba una vulnerabilidad conocida en VSCode y Cursor, donde simplemente abrir un archivo o carpeta era suficiente para ejecutar código arbitrario en silencio, sin advertencia ni aviso.

---

La ejecución: una función de Solana convertida en arma

Los atacantes abusaron de una función legítima de Solana llamada "nonces duraderos", que permite que las transacciones sean pre-firmadas y permanezcan válidas indefinidamente. Engañando a dos de los cinco firmantes del Consejo de Seguridad multisig de Drift para aprobar lo que parecía ser transacciones rutinarias, los atacantes obtuvieron aprobaciones pre-firmadas que permanecieron inactivas durante más de una semana. El 1 de abril, ejecutaron esas transacciones pre-firmadas, tomando poderes administrativos a nivel del protocolo en menos de un minuto.

---

Las secuelas: impacto en el mercado y reacción de la comunidad

El impacto inmediato fue devastador:

· Colapso del TVL: El valor total bloqueado en Drift cayó de aproximadamente ) millones a menos de $550 millones en una sola mañana, una caída de más del 53%.
· Caída del token: El token DRIFT cayó hasta un 45% en las horas siguientes, llegando a un mínimo cercano a $0.04–$0.05.
· Impacto en el ecosistema más amplio: Al menos 20 otros proyectos con exposición a la liquidez o estrategias de Drift pausaron operaciones o evaluaron pérdidas.
· Circle bajo fuego: El investigador en cadena ZachXBT criticó a Circle por no congelar USDC robado durante el ataque, ya que el atacante utilizó el propio Cross-Chain Transfer Protocol $250 CCTP( de Circle para transferir aproximadamente ) millones en USDC desde Solana a Ethereum sin intervención.

---

Implicaciones legales y de seguridad

El abogado de criptomonedas Ariel Givner afirmó que el incidente podría constituir "negligencia civil", argumentando que el equipo de Drift no siguió procedimientos básicos de seguridad, incluyendo mantener las claves de firma en sistemas separados y aislados, y realizar la debida diligencia sobre los desarrolladores conocidos en conferencias del sector. Ya circulan anuncios de posibles demandas colectivas contra Drift Protocol. En respuesta, la Fundación Solana y Asymmetric Research lanzaron el programa de seguridad STRIDE el 6 de abril de 2026, ofreciendo verificación formal y monitoreo de amenazas para protocolos DeFi en Solana.

---

Una nueva era de amenazas en DeFi

Este ataque representa una escalada fundamental en el panorama de amenazas. No fue un exploit de código; fue una operación de inteligencia estructurada que requirió respaldo organizacional, recursos significativos y meses de preparación deliberada. Los atacantes no solo crearon perfiles falsos en LinkedIn; desplegaron intermediarios con identidades completamente construidas, historiales laborales verificables y redes profesionales capaces de resistir una verdadera diligencia debida. Como señaló un investigador de seguridad: "Si los atacantes actúan como una organización real durante seis meses, invierten fondos y participan en el ecosistema, es prácticamente imposible detectarlos con los sistemas de seguridad existentes".

$232 #DeFiHack #NorthKoreaCrypto #DriftProtocol