Drift vincula un exploit de 285 millones de dólares a una infiltración norcoreana de seis meses

Puntos clave

Drift Protocol dijo que un grupo afiliado al Estado norcoreano pasó seis meses infiltrándose en la DEX basada en Solana antes de drenar alrededor de 285 millones de dólares de la plataforma. Drift atribuyó el ataque a UNC4736 con una confianza media-alta y dijo que el grupo se acercó por primera vez a colaboradores en una gran conferencia cripto el otoño pasado mientras se hacía pasar por una firma de trading cuantitativo. Según Drift, los atacantes generaron confianza mediante reuniones presenciales y coordinación por Telegram, incorporaron un Ecosystem Vault y depositaron más de 1 millón de dólares de su propio capital antes del exploit. Drift dijo que la intrusión pudo haber implicado un repositorio de código malicioso, una aplicación falsa de TestFlight y una vulnerabilidad en VSCode o Cursor que permitió la ejecución silenciosa de código sin interacción del usuario. SEAL 911 dijo que los flujos de fondos onchain y las identidades superpuestas apuntan a actores vinculados con la RPDC, mientras que Drift señaló que Mandiant aún no ha confirmado la atribución a la espera de los análisis forenses.

Por qué es importante: Este tipo de ataque de ingeniería social con permanencia prolongada podría llevar a los equipos DeFi a endurecer la seguridad de los colaboradores, la validación de transacciones y la revisión de firmantes antes de la ejecución.

Sentimiento del mercado

bajista, estrés elevado, impulsado por eventos, miedo.

Motivo: Un exploit de 285 millones de dólares tras una infiltración encubierta de seis meses señala una amenaza activa para las operaciones DeFi y puede mantener a los traders a la defensiva frente a plataformas similares.

Casos históricos similares

Tras el hack de Bybit de febrero de 2025, el exchange restableció en pocos días el respaldo 1:1 de los activos de los clientes al recibir 446.870 ETH por valor de 1,23 mil millones de dólares mediante préstamos, depósitos y compras. (CoinDesk) (coindesk.com) La diferencia es que Bybit absorbió la pérdida como exchange centralizado, mientras que este caso se centra en la infiltración de un protocolo DeFi que, según Drift, comenzó meses antes del exploit.

Efecto dominó

Una infiltración de larga permanencia puede extenderse más allá de un solo exploit porque los equipos DeFi podrían ralentizar integraciones, la incorporación de colaboradores y las aprobaciones de firmantes mientras vuelven a revisar herramientas internas y flujos de transacciones. Si otros protocolos revelan exposiciones similares en colaboradores o herramientas, el mercado podría descontar un castigo de seguridad más amplio en plataformas DeFi comparables. Si no aparecen revelaciones relacionadas, el impacto puede mantenerse concentrado en Drift y sus pares más cercanos.

Oportunidades y riesgos

Oportunidades: Si Drift publica detalles de remediación y controles más sólidos de validación de transacciones, entonces reconstruir exposición solo después de que esos controles sean visibles puede reducir el riesgo de titulares. Una prueba clara de endurecimiento operativo sería una señal de reconstrucción de confianza para las plataformas DeFi más seguidas.

Riesgos: Si otros protocolos revelan compromisos similares en colaboradores o herramientas, entonces reducir exposición a espacios DeFi con seguridad débil puede limitar la caída derivada de métodos de ataque compartidos. Si no surgen revelaciones similares, el riesgo de contagio puede seguir contenido.