Drift Protocol, una plataforma de intercambio descentralizado basada en Solana, sufrió la semana pasada una grave brecha de seguridad que resultó en pérdidas superiores a los 280 millones de dólares. Tras detectar actividades inusuales el 1 de abril, el equipo confirmó que los atacantes lograron secuestrar los privilegios administrativos del "Comité de Seguridad", vaciando los activos de los usuarios en apenas 12 minutos.
Una infiltración de largo alcance bajo una identidad falsa
En su informe de investigación, Drift Protocol señaló que este ataque no fue un evento fortuito, sino el desenlace de una planificación de al menos seis meses. Los atacantes se infiltraron en el ecosistema haciéndose pasar por una firma de trading cuantitativo, estableciendo contacto presencial con los colaboradores de Drift en diversas conferencias de criptomonedas alrededor del mundo.
"Ahora sabemos que se trató de una infiltración dirigida", declaró la plataforma. "Durante seis meses, los miembros de este grupo buscaron y contactaron deliberadamente a colaboradores clave de Drift en importantes eventos del sector a nivel global".
Los atacantes mantuvieron una comunicación fluida a través de Telegram, discutiendo estrategias de trading e integración de tesorería. Gracias a su alto nivel de competencia técnica y su profundo conocimiento del funcionamiento de Drift, estas interacciones parecían ser tratadas rutinarias entre una firma comercial y la plataforma. Según se informa, el grupo de Telegram fue eliminado inmediatamente después de perpetrarse el robo.
Las investigaciones de las firmas de inteligencia blockchain Elliptic y TRM Labs sugieren que el ataque presenta las características típicas de los grupos de hackers norcoreanos. Drift estima, con un grado de confianza de medio a alto, que los responsables pertenecen al grupo UNC4736 (también conocido como AppleJeus o Labyrinth Chollima). Este grupo ha sido vinculado por Mandiant al infame Grupo Lazarus y está relacionado con el ataque a la cadena de suministro de 3CX en 2023 y el robo de 50 millones de dólares a la plataforma Radiant en 2024.
Aunque las pistas apuntan a Corea del Norte, Drift aclaró que los individuos que interactuaron cara a cara con sus colaboradores en las conferencias no eran coreanos, sino intermediarios de otras nacionalidades.
Actualmente, todas las funciones de Drift Protocol permanecen suspendidas y las carteras afectadas han sido eliminadas de los procesos de multifirma. La plataforma ha notificado las direcciones de las carteras utilizadas por los atacantes a diversos exchanges y puentes entre cadenas para intentar bloquear el movimiento de los fondos. La investigación sigue en curso, y la plataforma sospecha que los hackers obtuvieron los permisos de los colaboradores clave mediante el uso de repositorios de código malicioso (aprovechando vulnerabilidades en VSCode o Cursor) o a través de aplicaciones maliciosas de TestFlight que se hacían pasar por productos de billetera.
