#DriftProtocolHacked DriftProtocolHacked: Un #DriftProtocolHacked análisis completo de la $285M estafa DeFi vinculada a Corea del Norte

La versión corta: El 1 de abril de 2026 (sí, un ataque real, no una broma), la mayor plataforma de intercambio perpetuo de Solana, Drift Protocol, perdió **~$285 millón** en lo que ahora se describe como el ataque de ingeniería social más sofisticado de la historia de DeFi. Los atacantes pasaron **seis meses** construyendo confianza, reuniéndose con el equipo en persona, depositando más de $1 millón de su propio dinero y, finalmente, comprometiendo máquinas de firma para drenar el protocolo en solo 12 minutos .

---

1. La cronología: cómo se desarrolló

La Ejecución del Ataque (1 de abril de 2026)

· Total robado: ~$285 millón en múltiples pools: JLP (~$155.6M), USDC, SOL, cbBTC, wBTC, WETH y memecoins
· Método: Los atacantes activaron transacciones “durable nonce” pre-firmadas, listaron tokens CVT falsos como colateral válido, aumentaron los límites de retiro al máximo y drenaron todo
· Velocidad: 31 transacciones de retiro se completaron en ~12 minutos
· Conversión inmediata: Los activos robados se intercambiaron por ~129,000 ETH (~$278M) mediante Jupiter, puenteados a Ethereum

Respuesta inmediata

· Depósitos/retiros congelados de inmediato
· Drift confirmó: “Esto no es una broma del April Fool’s”
· Todas las funciones del protocolo pausadas; carteras comprometidas eliminadas del multisig

---

2. La infiltración de seis meses: una operación de inteligencia estructurada

Esto no fue un error de código ni un hackeo aleatorio. Fue una operación de espionaje a gran escala.

Fase 1: Primer contacto (Otoño de 2025)

Personas que se hacían pasar por una firma de trading cuantitativo se acercaron a contribuyentes de Drift en una importante conferencia cripto. Eran técnicamente sofisticados, creíbles y configuraron un grupo de Telegram inmediatamente .

Fase 2: Construcción de confianza (Dic 2025 - Ene 2026)

· Incorporaron un Ecosystem Vault que parecía legítimo en Drift
· Depositaron más de $1 millón de su propio capital para establecer credibilidad
· Varias sesiones de trabajo sobre estrategias de trading e integraciones
· Se reunieron cara a cara con contribuyentes de Drift en conferencias en múltiples países

Fase 3: Compromiso técnico (Feb - Mar 2026)

Se identificaron dos vectores de ataque probables:

Vector Método
Repositorio malicioso El atacante compartió un repositorio de código bajo la apariencia de desplegar un frontend de vault. Una vulnerabilidad conocida de VSCode/Cursor (marcada entre dic 2025 y feb 2026) permitió una ejecución silenciosa de código arbitrario con solo abrir la carpeta—sin clics, sin avisos
App TestFlight Un contribuyente fue persuadido para instalar una “wallet app” beta mediante Apple TestFlight (que elude la revisión de seguridad de la App Store)

Una vez que las máquinas quedaron comprometidas, los atacantes obtuvieron aprobaciones de multisig mediante la tergiversación de transacciones.

Fase 4: La trampa está lista (27 de marzo de 2026)

Drift migró su Security Council a un multisig 2-de-5 con timelock de 0 segundos—lo que significa que las acciones administrativas podían ejecutarse instantáneamente sin demora. Las transacciones pre-firmadas ya estaban allí, esperando .

Fase 5: Ejecución (1 de abril de 2026)

· Los atacantes activaron las transacciones inactivas
· Los chats de Telegram y el software malicioso se eliminaron por completo en el mismo momento en que el ataque se puso en marcha
· Los fondos se drenaron en 12 minutos

---

3. Atribución: UNC4736 (Lazarus Sub-Group)

Con una confianza de nivel medio-alto, Drift y el equipo SEAL 911 atribuyen esto a UNC4736 (aka AppleJeus, Citrine Sleet, Gleaming Pisces)—el mismo grupo detrás del hackeo de Radiant Capital en octubre de 2024 $50M hack .

Evidencia vinculante para DPRK:

· Solapamiento en cadena: los flujos de fondos usados para montar la operación de Drift se remontan a los atacantes de Radiant Capital
· Patrones operativos: el mismo enfoque paciente de dirigirse a humanos utilizado en el hackeo del puente Ronin en 2022 ($625M)
· Origen de Tornado Cash: el ataque comenzó con un retiro de ETH desde Tornado Cash el 11 de marzo
· Marca de tiempo de Pyongyang: la marca de tiempo de despliegue de CVT coincidió con ~09:00 hora de Pyongyang
· Velocidad de blanqueo: conversión cruzada inmediata a ETH, sin congelación por parte de CEXs

Nota crítica: Las personas que estuvieron cara a cara NO eran nacionales norcoreanos

“Las personas que aparecieron en conferencias en persona no eran nacionales norcoreanos. Los DPRK threat actors que operan a este nivel son conocidos por implementar intermediarios externos para encargarse del establecimiento de relaciones.”

Estos intermediarios tenían identidades completamente construidas—historiales de empleo, credenciales públicas, redes profesionales—diseñadas para resistir la debida diligencia de la contraparte .

---

4. El desglose técnico: cómo funcionó el exploit

El ataque de “Durable Nonce”

Solana tiene una función legítima llamada durable nonces que permite que las transacciones se pre-firmen y se ejecuten más tarde. Los atacantes:

1. Lograron que los firmantes del multisig aprobaran lo que parecía ser transacciones rutinarias
2. Esas aprobaciones se convirtieron en claves de autorización activas mantenidas en reserva
3. Cuando se eliminó el timelock el 27 de marzo, las transacciones pre-firmadas se activaron al instante

El esquema de colateral falso

1. 11 de marzo: el atacante retiró ETH desde Tornado Cash
2. 12 de marzo: desplegó el token “CVT” (carbonvote)
3. 3 semanas: sembró una liquidez mínima en Raydium; usó wash trading para mantener ~$1.00 de precio
4. 1 de abril: los oráculos de Drift leyeron CVT como colateral legítimo → el atacante depositó CVT sin valor → el protocolo emitió activos reales contra él

---

5. Las consecuencias: quién salió perjudicado

Pérdidas directas: ~$285 Millón

Cantidad de activos Valor (USD)
Tokens JLP ~41.7M ~$155.6M
USDC Varios ~$80-100M
SOL Varios Significativo
cbBTC/wBTC/WETH Varios Resto

Protocolos afectados (Contagion)

· Prime Numbers Fi: millones perdidos
· Carrot Protocol: funciones de mint/redeem pausadas después de que se afectara el 50% del TVL
· Pyra Protocol: retiros deshabilitados por completo
· Piggybank: perdió $106,000 (reembolsados con cargo al tesoro)

Respuesta de Jupiter

“Jupiter Lend no está involucrado en los mercados de Drift. Los activos de JLP están totalmente respaldados por activos subyacentes. Es un día difícil para DeFi en Solana.”

Tokens no afectados

· Unitas Protocol
· Meteora
· Perena (aunque su bóveda JLP gestionada por Neutral Trade se vio impactada)
#DriftProtocolHacked

6. La controversia de las stablecoins: Circle vs. Tether

Surgió una historia secundaria importante: ¿por qué Circle no congeló el USDC robado?

Los números

· $230 millón en USDC se puenteó desde Solana a Ethereum mediante el Cross-Chain Transfer Protocol de Circle (CCTP)
· Esto ocurrió durante seis horas con no hubo intervención

El contraste

Respuesta del protocolo
USDT0 (Tether) Detuvo la comunicación entre cadenas en Solana en 90 minutos
Circle CCTP No se documentó ninguna intervención; el protocolo se ejecutó sin permisos

Las críticas

Un analista on-chain, ZachXBT, criticó públicamente el fallo de Circle en actuar. Observadores de la industria señalaron que esto expone una compensación fundamental en el diseño: control centralizado para la respuesta a emergencias (USDT0) vs. descentralización sin permisos (CCTP) .

Para contexto, el fundador de Curve Finance, Michael Egorov, señaló: “Si están involucrados hackers norcoreanos, la probabilidad de recuperación es cero. Nunca cooperan y no les asusta la aplicación de la ley.”

---

7. La respuesta de Drift y los esfuerzos de recuperación

Acciones inmediatas (1-3)

· Todas las funciones del protocolo se congelaron
· Las carteras comprometidas se eliminaron del multisig
· Las direcciones de los atacantes se marcaron con exchanges y operadores de bridges
· Mensajes on-chain enviados a las carteras del hacker: “Estamos listos para hablar”

El intento de negociación (30 de abril de 2026)

Drift envió mensajes on-chain a cuatro carteras de Ethereum que contenían fondos robados, indicando:

“Se ha identificado información crítica sobre las partes relacionadas con el exploit. Para la comunidad, Drift compartirá más actualizaciones en cuanto se completen las atribuciones de terceros.”

¿La única respuesta? Una cartera aleatoria que contenía $200 en ETH respondió: *“Envíame $10 millón para meterme con el equipo de Drift.”*

Investigación forense

· Se contrató a Mandiant para liderar la investigación forense
· El equipo SEAL 911 (Taylor Monahan, tanuki42_, pcaversaccio, Nick Bax) recibió el crédito por identificar a los actores
· Se encuentra pendiente la atribución formal tras completar la forensia del dispositivo

Lo que dijo tanuki42_

“Este es el ataque más elaborado y dirigido que creo haber visto perpetrado por DPRK en el espacio cripto. Reclutar múltiples facilitadores y lograr que apunten a personas específicas en la vida real durante eventos importantes de cripto es una táctica bastante inusual.”

---

8. Por qué esto lo cambia todo para DeFi

La verdad difícil

“Si los atacantes están dispuestos a gastar seis meses, invertir $1 millón en el ecosistema, reunirse con los equipos en persona, depositar capital real y esperar con paciencia—¿qué modelo de seguridad está diseñado para detectar eso?”

Lecciones aprendidas

1. Los timelocks no son opcionales. Eliminar un timelock (como hizo Drift el 27 de marzo) convierte un ataque complejo en un cashout de 12 minutos
2. La ingeniería social > exploits de código. La auditoría de código más sofisticada no impedirá que un humano abra una carpeta maliciosa de VSCode o instale una app de TestFlight
3. Importa la seguridad con permisos vs. la seguridad sin permisos. El contraste USDT0 vs. CCTP muestra compensaciones reales en el diseño de stablecoins
4. Corea del Norte llegó para quedarse. Elliptic rastreó más de $300M stolen en el Q1 de 2026, solo en ese periodo, con actores vinculados a DPRK responsables de $6.5B+ en los últimos años

Qué sigue para Drift

· A menos que se recuperen los fondos o aparezca un respaldo importante, el camino probablemente termine en liquidación, bancarrota o litigio
· No se anunció ningún plan integral de reembolso al 3-5 de abril
· Probabilidad de recuperación si está involucrada DPRK: 0% (según Michael Egorov)

---

9. Carteras clave y datos on-chain

Carteras ETH de los atacantes (Post-bridge):

· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674

Total retenido: ~105,969 ETH (~$226M)

Remitente del mensaje on-chain de Drift:

· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105

---

Conclusión final

Esto no fue un hack. Fue una operación hostil de inteligencia de seis meses realizada por un estado-nación contra un protocolo DeFi. Los atacantes:

· Usaron intermediarios externos con identidades falsas pero perfectas
· Se reunieron con los objetivos en persona en conferencias en múltiples países
· Depositaron $1M+ de capital real como cobertura
· Explotaron herramientas de desarrollo confiables (VSCode) y Apple's TestFlight
· Ejecutaron un drenaje perfectamente sincronizado en 12 minutos

Si DeFi quiere sobrevivir, la industria debe aceptar que la ingeniería social y los nation-state actors son ahora el modelo de amenaza—no solo errores en contratos inteligentes.

“La investigación ha demostrado que los perfiles utilizados tenían identidades completamente construidas, incluyendo historiales laborales, credenciales orientadas al público y redes profesionales que podían resistir el escrutinio durante una relación comercial.” — Drift Protocol #DriftProtocolHacked #DriftProtocolHacked