¿Cómo hackean los hackers de nivel nacional DeFi? Investigación en profundidad del incidente de hackeo a Drift

El enfoque de los ataques en incidentes de seguridad criptográfica se está desplazando drásticamente, pasando de la capa de código a la capa de confianza humana.

El 1 de abril de 2026, el protocolo líder de derivados descentralizados de la ecología de Solana, Drift Protocol, fue objeto de un ataque, con unas pérdidas de alrededor de 285 millones de dólares. El valor total bloqueado (TVL) de la plataforma se desplomó desde aproximadamente 550 millones de dólares antes del incidente hasta alrededor de 230 millones de dólares. La investigación preliminar publicada posteriormente por Drift confirmó que esta acción fue planeada por la organización hacker UNC4736, asociada al gobierno de Corea del Norte, y que se trató de una “operación estructurada de inteligencia a lo largo de 6 meses”.

El cambio que revela esta conclusión va mucho más allá de un solo incidente de seguridad: cuando los hackers a nivel estatal cambian el enfoque del descubrimiento de fallas de código hacia la infiltración sistemática de la confianza interpersonal durante meses, todo el paradigma de seguridad de la industria DeFi se está reescribiendo de manera sistemática. El ataque ya no necesita vulnerabilidades complejas de contratos inteligentes ni robo de llaves privadas: solo requiere una relación paciente, una identidad meticulosamente disfrazada y suficiente tiempo.

¿Cuál es el mecanismo operativo de un ataque?

El plan de acción de UNC4736 muestra una disciplina organizativa y una inversión de recursos muy por encima de los de un grupo hacker ordinario. Desde el otoño de 2025, personas que se hacían pasar por empresas de trading cuantitativo se acercaron proactivamente a contribuyentes de Drift en múltiples conferencias internacionales de criptomonedas. Estos individuos hablaban con fluidez técnica, tenían antecedentes profesionales que podían verificarse y estaban familiarizados con el funcionamiento de Drift. Lo más importante es que las personas contactadas en persona no eran de nacionalidad norcoreana, sino que se identificó que eran intermediarios de terceros desplegados por un actor de amenaza norcoreano.

Después de construir la confianza, el grupo se instaló en un tesoro (vault) de un sistema en la ecología de Drift entre diciembre de 2025 y enero de 2026, e incluso depositó más de 1 millón de dólares de sus propios fondos para establecer credibilidad. En ese proceso, mantuvieron discusiones detalladas y profesionales sobre preguntas del producto con varios contribuyentes.

La intrusión técnica se logró mediante dos rutas: un contribuyente fue comprometido al clonar un repositorio de código malicioso. Ese repositorio explotaba vulnerabilidades que la comunidad de seguridad llevaba tiempo advirtiendo continuamente en los editores VSCode y Cursor: solo hace falta abrir archivos, carpetas o repositorios en el editor para ejecutar código arbitrario de forma silenciosa, sin necesidad de ninguna indicación ni clic por parte del usuario; el otro contribuyente fue engañado para descargar una aplicación de wallet suplantada a través de la plataforma TestFlight de Apple. Tras obtener privilegios internos, los atacantes usaron la función nativa de Solana Durable Nonce para firmar previamente las transacciones, y una vez que se aprobaron las múltiples firmas (multisig), ejecutaron instantáneamente la operación de vaciado.

¿Qué costos trae este tipo de ataque?

El costo que expone el incidente de Drift es multidimensional, y va mucho más allá de una pérdida contable de 285 millones de dólares.

El costo más directo se refleja en la pérdida de fondos y el impacto en el mercado. Este ataque fue el mayor incidente de seguridad DeFi hasta la fecha en 2026, y el segundo incidente de seguridad más grande en la historia de la ecología de Solana. Después de que ocurriera el incidente, el precio del token DRIFT cayó en algún momento más de 90% desde su máximo histórico.

Más preocupante aún es el efecto de propagación del ataque. Los protocolos afectados por el evento de vulnerabilidad de Drift pasaron de los 11 iniciales a más de 20. Entre los nuevos se incluyen protocolos como PiggyBank, Perena, Vectis, Prime Numbers Fi, etc. Algunos protocolos ya suspendieron funciones de acuñación, redención o depósitos y retiros. Después de que el protocolo de préstamos descentralizados Project 0 suspendiera operaciones, inició un proceso de desapalancamiento: los activos de los prestamistas se depreciaron en promedio 2.61%.

Y el costo más profundo, y también el más difícil de cuantificar, es el debilitamiento de la base de confianza en la seguridad del sector DeFi. Tras el hecho, Drift enfatizó que todos los miembros del multisig usan wallets en frío, pero aun así no pudieron impedir el ataque. Esto sugiere que, cuando el ataque se enfoca en la capa humana, incluso con un control de hardware estricto, puede ser eludido. Si los atacantes actuaran durante seis meses con apariencia de una organización real, aportaran fondos, participaran en la ecología, el sistema de seguridad existente casi no podría detectarlos.

¿Qué significa esto para el panorama de la industria DeFi?

El incidente de Drift obliga a toda la industria a replantearse un problema fundamental: si los supuestos de seguridad del sistema financiero descentralizado siguen siendo válidos.

Una reflexión clave se centra en la vulnerabilidad estructural del sistema de confianza de los intermediarios de terceros. La ruta de ataque de UNC4736 revela que la ecología DeFi actual carece de mecanismos de revisión de seguridad sistemática y monitoreo continuo para nuevos socios. Esas conductas que en la industria se consideran actividades comerciales normales—contacto en conferencias, comunicación por mensajería instantánea, ingreso a un tesoro de la ecología—son, precisamente, la mejor cobertura para la infiltración de hackers a nivel estatal.

Otro debate que no puede ignorarse proviene de una grieta de cumplimiento (compliance) en la etapa de recuperación de fondos. Investigadores on-chain señalaron que los atacantes, mediante protocolos de transferencia entre cadenas, movieron aproximadamente 232 millones de dólares en USDC desde el puente de Solana hacia Ethereum, mientras que el emisor del stablecoin tiene una ventana de alrededor de 6 horas para congelar esa porción de fondos, pero no tomó medidas. Esta controversia toca un problema institucional más profundo: cuando las defensas de seguridad del propio protocolo DeFi fallan, depender de la respuesta de cumplimiento de un emisor de stablecoin centralizado para cubrir el hueco—¿puede sostenerse este modelo híbrido? ¿Y dónde están los límites de acción de la entidad de cumplimiento cuando se enfrentan a flujos masivos de fondos?

¿Cómo podría evolucionar en el futuro?

A partir de los avances actuales de la investigación y la reacción de la industria, ya se vislumbran varias tendencias para el futuro.

El presupuesto de seguridad se recalibrará de manera sistemática. Las pérdidas de seguridad criptográfica globales en 2025 superaron los 3,400 millones de dólares; en el ámbito Web3, en 2025 se registraron 89 incidentes de seguridad confirmados, con pérdidas totales de 2,540 millones de dólares. En un contexto en el que los ataques a nivel estatal se vuelven cada vez más habituales, las estrategias de defensa que dependen únicamente de auditorías de código y pruebas de seguridad ya no serán suficientes. Se espera que más protocolos inviertan recursos adicionales en capacitaciones de seguridad operativa, simulacros de defensa contra ingeniería social y procesos de revisión de antecedentes.

La propagación del riesgo entre protocolos se convertirá en una nueva dimensión de preocupación por seguridad. El efecto dominó del incidente de Drift que afectó a más de 20 protocolos indica que la componibilidad de DeFi es una espada de doble filo en términos de seguridad. En el futuro podrían aparecer dos tipos de enfoques de respuesta: uno, el aislamiento de dependencias y la clasificación de seguridad a nivel de protocolo; y otro, la creación a nivel de industria de mecanismos unificados de respuesta ante incidentes e intercambio de información.

Los límites entre regulación y cumplimiento se enfrentarán a un juego de fuerzas mayor. Los estándares de actuación de los emisores de stablecoins en eventos similares se convertirán en el foco del debate regulatorio, lo que podría generar marcos de respuesta urgente para el flujo transfronterizo de criptoactivos.

¿Qué riesgos potenciales siguen dentro de la zona de alerta?

Aunque Drift ha congelado todas las funciones de los protocolos y ha removido las wallets afectadas de los multisig, aún hay varias dimensiones de riesgo que merecen atención continua.

La irreversibilidad de la recuperación de fondos. Después de ejecutar el robo, los atacantes borraron rápidamente los registros de mensajería instantánea y el malware, y los fondos on-chain ya se transfirieron a la red de Ethereum mediante puentes entre cadenas. Las organizaciones de hackers norcoreanos históricamente han contado con redes maduras de lavado de dinero y capacidades de mezcla transfronteriza, por lo que gran parte de los fondos robados podrían ya haber entrado en canales difíciles de recuperar.

La competencia asimétrica en capacidades de seguridad de la industria. Las organizaciones de hackers a nivel estatal poseen recursos organizativos, apoyo financiero continuo y una división especializada del trabajo; mientras que la gran mayoría de los protocolos DeFi operan con equipos pequeños, con recursos de seguridad limitados. Esta asimetría está siendo aprovechada de forma sistemática por los atacantes. Las identidades que usan los atacantes ya se han construido con un historial profesional completo, credenciales de identidad públicas y redes sociales profesionales, lo que les permite superar revisiones normales en colaboraciones comerciales.

El cansancio de la confianza inhibe la innovación en la industria. Si cada vez que se introduce un nuevo socio se requiere pasar por revisiones de seguridad estrictas y monitoreo continuo, la ventaja central de DeFi—la apertura y la componibilidad—se enfrenta al riesgo de erosionarse. Encontrar un equilibrio entre defensa de seguridad y eficiencia operativa será un rompecabezas que la industria debe resolver.

Resumen

El hack de Drift revela una realidad que durante mucho tiempo se había pasado por alto: las amenazas de seguridad en la industria DeFi ya completaron un salto generacional. Desde fallas de contratos inteligentes hasta robo de llaves privadas, y ahora hasta una infiltración de ingeniería social a nivel estatal durante 6 meses, la velocidad de evolución táctica de los atacantes supera con creces la velocidad de iteración de los sistemas de defensa. Cuando a los atacantes ya no les hace falta vulnerar el código, sino simplemente vulnerar la confianza de una persona, se reevalúa la efectividad de herramientas de seguridad tradicionales como multisig, wallets en frío y aislamiento por hardware.

Lo que necesita la industria no es solo una auditoría de código más completa y un control de acceso más estricto, sino también una mentalidad de seguridad completamente nueva: tratar la “confianza humana” como una superficie de ataque igual de importante que el “código de contrato inteligente”. Desde la revisión de antecedentes hasta la cultura de seguridad operativa, desde el monitoreo continuo de socios de la ecología hasta la coordinación entre protocolos de los mecanismos de respuesta a emergencias, cada eslabón debe redefinirse. En la nueva normalidad de seguridad criptográfica en la que entran fuerzas a nivel estatal, ningún protocolo puede mantenerse al margen; toda la cadena de defensa de seguridad de la industria solo puede alcanzar la resistencia de su eslabón más débil.

FAQ

P: ¿UNC4736 es la misma organización que Lazarus?

UNC4736 es el alias que usan las empresas de seguridad para rastrear actores de amenazas asociados al gobierno de Corea del Norte; se cruza con Lazarus Group, que es más conocido, pero no es completamente equivalente. Se considera que UNC4736 realiza en el ámbito de las criptomonedas tareas más continuas de obtención de ingresos en la base, centrándose en la infiltración persistente de objetivos pequeños a medianos.

P: ¿Por qué Drift, usando multisig, aún no pudo detener el ataque?

Los atacantes no robaron directamente las llaves privadas del multisig. En cambio, obtuvieron permisos de aprobación del multisig mediante ingeniería social, usaron la función Durable Nonce de Solana para firmar previamente las transacciones y, tras obtener suficientes permisos, ejecutaron instantáneamente. Esto muestra que el supuesto de seguridad del mecanismo de multisig es que los firmantes no sean manipulados mediante ingeniería social.

P: ¿Este ataque involucró vulnerabilidades de contratos inteligentes?

No. La confirmación oficial de Drift indica que el núcleo de este ataque fue la infiltración mediante ingeniería social y el abuso de la función Durable Nonce, no las vulnerabilidades tradicionales del código de contratos inteligentes.

P: ¿Qué medidas tomó Drift después del incidente?

Drift congeló todas las funciones de los protocolos, movió las wallets afectadas fuera del multisignature (multisig) y invitó a empresas de seguridad a participar en una investigación forense profunda. El equipo del protocolo indicó que está colaborando con las autoridades encargadas de la aplicación de la ley para intentar rastrear los fondos robados.