La plataforma de derivados de criptomonedas Drift Protocol ha publicado los resultados preliminares de su investigación sobre un ataque informático de casi 285 millones de dólares ocurrido el 1 de abril de 2026. Según la compañía, el ataque no fue el resultado de una falla de seguridad repentina, sino más bien de una operación de infiltración planificada y profesional que duró aproximadamente seis meses.
Drift declaró que está colaborando con las fuerzas del orden, los equipos forenses y los representantes del ecosistema para esclarecer todos los aspectos del incidente.
Los resultados de la investigación demuestran que los atacantes interactuaron sistemáticamente con el equipo de Drift a partir del otoño de 2025, presentándose como una empresa de trading cuantitativo. Estos individuos se ganaron la confianza de los miembros del equipo mediante el contacto personal en importantes conferencias sobre criptomonedas en diversos países, y con el tiempo, consolidaron una imagen de socio comercial profesional. Las comunicaciones realizadas a través de Telegram abarcaron en detalle temas como el desarrollo de estrategias y la integración de productos. Asimismo, se constató que los atacantes invirtieron más de un millón de dólares para crear una presencia activa en la plataforma y lanzaron una “Bóveda del Ecosistema”. Este proceso de interacción a largo plazo reveló que los atacantes llevaron a cabo una operación altamente sofisticada, no solo a nivel técnico, sino también en términos de ingeniería social.
Según el análisis de Drift, el ataque se llevó a cabo mediante múltiples vectores técnicos. Se cree que el dispositivo de un miembro del equipo pudo haber sido comprometido tras clonar un repositorio de código compartido por los atacantes, supuestamente para el desarrollo frontend. Se piensa que otro miembro del equipo infectó su dispositivo al descargar una aplicación de TestFlight, presentada por los atacantes como una aplicación de billetera. Además, se está considerando la posibilidad de que se hayan utilizado vulnerabilidades de VSCode y basadas en cursores, que se espera que sean explotadas entre finales de 2025 y principios de 2026. El hecho de que todos los registros de comunicación y el malware pertenecientes a los atacantes fueran eliminados inmediatamente en el momento del ataque es un detalle significativo que demuestra la meticulosa planificación y profesionalidad de la operación.
En su análisis de los responsables del ataque, la empresa afirmó que los hallazgos están vinculados al hackeo de Radiant Capital de 2024, ocurrido ese mismo año, con un nivel de confianza medio-alto. Se sabe que dicho ataque fue perpetrado por un grupo previamente identificado como UNC4736 y asociado con Corea del Norte. Drift señaló que las personas que mantuvieron reuniones presenciales durante la operación podrían no haber sido ciudadanos norcoreanos directos, pero este tipo de grupos patrocinados por el Estado suelen utilizar intermediarios para establecer contacto físico.
Tras el ataque, Drift Protocol anunció la suspensión temporal de todas las funciones críticas del protocolo y la eliminación de las carteras comprometidas de la arquitectura multifirma. Se informó que las direcciones de los atacantes habían sido señaladas por exchanges y operadores de puentes, y que se estaba colaborando con Mandiant para realizar un análisis técnico del incidente. La compañía anunció que las investigaciones forenses de los dispositivos seguían en curso y que se compartirían los nuevos hallazgos con el público a medida que estuvieran disponibles.
*Esto no constituye asesoramiento de inversión.