¡Increíble! Drift revela que el hackeo de 270 millones fue una operación secreta de espionaje norcoreano durante 6 meses

Antes de que $270 millones se esfumaran del Drift Protocol, un grupo ligado al gobierno de Corea del Norte se aventó una operación de inteligencia que duró seis meses, según contó el equipo de Drift en una actualización bien detallada que soltaron el domingo.

Todo comenzó en otoño de 2025, durante una feria de cripto super grande, donde estos hackers se presentaron como una firma de trading con números y todo, diciendo que querían conectar con Drift. Técnicamente eran netos, tenían currículums chidos y entendían cómo funcionaba la onda del protocolo, según Drift. Armaron un grupo en Telegram y ahí empezaron a echar relajo con charlas sobre estrategias de trading y cómo integrar sus “bóvedas”, como si fueran colegas normales entrando al mundo DeFi.

Entre diciembre de 2025 y enero de 2026, lograron meter una bóveda en Drift, chambeando junto al equipo, metieron más de un millón de dólares de su propio dinero, y se hicieron la idea de que tenían presencia real en el ecosistema.

Los de Drift conocieron a estos cuates en persona en varias ferias por diferentes países durante febrero y marzo. Para cuando lanzaron el ataque el 1° de abril, ya tenían casi medio año de confianza.

El golpe tuvo dos vías de entrada.

Primero, bajaron una app de TestFlight, que es como una plataforma para apps beta que se brinca la checada del App Store. Esta fue la supuesta “billetera” que usaron.

Luego, aprovecharon una falla que ya estaba en conocidos editores de código como VSCode y Cursor: solo con abrir un archivo o carpeta, se podía ejecutar código sin que el usuario se enterara. Esto venía siendo un grito de alerta entre la comunidad de seguridad desde finales de 2025.

Con los dispositivos comprometidos, los atacantes consiguieron las dos aprobaciones multisig necesarias para ejecutar un ataque de nonce duradero (que CoinDesk explicó esta semana). Esas transacciones pre-firmadas duraron dormidas más de una semana hasta que el 1° de abril se ejecutaron y en menos de un minuto se llevaron los $270 millones de las bóvedas.

Todo apunta a UNC4736, un grupo que tiene el respaldo del gobierno norcoreano y que también se conoce como AppleJeus o Citrine Sleet. Esto lo saben gracias a cómo se movieron los fondos y la relación con otros ataques que también conectan con Corea del Norte.

Los que se aparecieron en persona en las ferias no eran norcoreanos, porque este tipo de actores suelen usar intermediarios con identidades armadas a modo, con historial laboral y redes profesionales bien hechas para que nadie sospeche.

Drift le recomendó a otros protocolos que revisen bien quién tiene acceso y que consideren que cualquier dispositivo conectado a un multisig puede ser un blanco fácil. Esto pone a pensar, porque la seguridad en las cripto, básicamente se basa en esos multisig.

Pero si los hackers están dispuestos a invertir seis meses y un millón de dólares para armarse de confianza, conocer a los equipos en persona, meter billete real y esperar sin prisa, la pregunta es: ¿qué seguridad va a poder detectarlos?