Hackeo Drift Protocol: Corea del Norte vinculado al robo de $285 millones

La ciberseguridad en el ecosistema DeFi ha recibido un golpe devastador que quedará grabado en los libros de historia tecnológica. El hackeo Drift Protocol, ocurrido el pasado 1 de abril de 2026, no fue una simple vulnerabilidad en un contrato inteligente, ni el resultado de un error de codificación fortuito. Fue la culminación de una operación de inteligencia de seis meses, diseñada con una precisión quirúrgica, y atribuida por expertos a los actores estatales de Corea del Norte, específicamente al grupo conocido como UNC4736.

Con una pérdida estimada de 285 millones de dólares, este incidente representa el mayor robo de finanzas descentralizadas en lo que va de año y el segundo fallo de seguridad más grave en la historia de Solana. Para los defensores de la seguridad en blockchain, lo ocurrido con Drift es una llamada de atención sombría: incluso las defensas multisig (multisecuenciales) más robustas son vulnerables si el factor humano es manipulado con suficiente antelación y paciencia.

La anatomía de una traición prolongada: La ingeniería social como arma

A diferencia de los ataques “flash loan” que se ejecutan en segundos mediante la explotación de oráculos de precios, el hackeo Drift Protocol comenzó mucho antes del despliegue del exploit. Según los informes técnicos post-mortem, la operación se inició en el otoño de 2025. Los atacantes no se ocultaron tras proxies anónimos; se presentaron ante los colaboradores de Drift en importantes conferencias de criptomonedas de todo el mundo, haciéndose pasar por una firma de trading cuantitativo legítima.

Esta fachada no fue improvisada. Durante meses, los miembros de UNC4736 (también conocidos bajo los pseudónimos de AppleJeus o Citrine Sleet) establecieron perfiles profesionales creíbles, participando en colaboraciones técnicas y reuniones de negocios. Para consolidar una confianza absoluta, el grupo llegó a depositar más de un millón de dólares de sus propios fondos en una bóveda del ecosistema Drift entre diciembre de 2025 y enero de 2026. Esta “inversión” inicial no era más que un costo operativo calculado para derribar las barreras defensivas de la organización.

La infiltración técnica se ejecutó mediante vectores de ataque sofisticados:

• Distribución de malware: Un miembro del equipo fue inducido a descargar una aplicación de prueba a través de TestFlight de Apple, bajo la falsa premisa de que se trataba de una nueva billetera digital.
• Compromiso de herramientas de desarrollo: Otros colaboradores fueron engañados para clonar repositorios de código malicioso o explotar vulnerabilidades conocidas en editores de código ampliamente utilizados como VSCode y Cursor, simplemente abriendo archivos configurados para ejecutar código arbitrario de forma silenciosa.

Durable Nonces: La pieza técnica detrás del colapso

Una vez que los atacantes obtuvieron los niveles de acceso necesarios, el siguiente paso fue evadir los controles de seguridad multisig. Aquí es donde el hackeo Drift Protocol utiliza una característica legítima de Solana —los “durable nonces”— como herramienta de destrucción.

En el diseño estándar de Solana, cada transacción incluye un “blockhash” reciente que actúa como una marca de tiempo, expirando en un margen de 60 a 90 segundos para evitar ataques de repetición. Los “durable nonces”, sin embargo, fueron creados para permitir que las transacciones sean firmadas con antelación y ejecutadas más tarde, facilitando operaciones como las de hardware wallets o soluciones de custodia institucional.

Los atacantes explotaron este diseño de la siguiente manera:

1. Pre-firma maliciosa: A través de ingeniería social, engañaron a los miembros del Consejo de Seguridad para que firmaran transacciones que parecían rutinarias o necesarias para la “colaboración”.
2. Desacople de la intención: Debido a que el nonce duradero mantiene la transacción válida indefinidamente (hasta que se ejecuta), el atacante pudo separar el momento de la aprobación del momento de la ejecución.
3. El momento crítico: El 27 de marzo de 2026, Drift migró su Consejo de Seguridad a una configuración 2/5 sin timelock (tiempo de espera). Este cambio eliminó la última línea de defensa que podría haber permitido la detección temprana.

El despliegue final: Del activo ficticio al drenaje masivo

Con el control administrativo en sus manos, la ejecución del robo fue rápida y eficiente. Los atacantes fabricaron un token sin valor llamado “CVT” (CarbonVote Token). Mediante operaciones de lavado de dinero y manipulación de oráculos, lograron que el sistema de Drift reconociera este token como un activo de alto valor.

El 1 de abril, en un despliegue cronometrado, los atacantes realizaron las siguientes acciones:

• Incluyeron el token CVT como colateral válido.
• Elevaron los límites de retiro a niveles extremos.
• Depositaron cientos de millones en tokens sin valor (CVT) para retirar contra ellos activos reales.
• En un lapso de aproximadamente 12 minutos, ejecutaron 31 transacciones de retiro, drenando el protocolo de USDC, SOL, ETH y otros activos de alta liquidez.

Debido a que las transacciones estaban firmadas por los administradores legítimos (aunque bajo engaño), los sistemas de seguridad automatizados no emitieron alertas. Para cuando el equipo de Drift se percató del drenaje, la mayor parte de los fondos ya habían sido transferidos y puenteados hacia otras redes, complicando drásticamente las labores de recuperación.

Lecciones de un “masterclass” en manipulación

Este incidente ha dejado claro que el eslabón más débil de la cadena DeFi sigue siendo, invariablemente, el factor humano. El hackeo Drift Protocol sirve como un recordatorio brutal de que los atacantes, especialmente los estatales como el grupo UNC4736, no están compitiendo contra nuestro código, sino contra nuestra capacidad de discernimiento y nuestros procesos de gobernanza.

La adopción de herramientas de evaluación de intenciones de transacciones, como *GateSigner* (capaces de analizar qué hace realmente una firma antes de permitir su envío), parece ahora una necesidad absoluta en lugar de un lujo. Asimismo, la eliminación de timelocks en protocolos de alto valor ha demostrado ser una negligencia fatal que permite que los ataques pasen de la sospecha a la catástrofe irreversible en cuestión de minutos.

Mientras la industria reflexiona sobre cómo protegerse de futuros ataques que mezclen la psicología con las vulnerabilidades técnicas, el caso Drift se mantendrá como un estándar en los estudios de ciberseguridad. La era de la “seguridad por código” ha quedado atrás; ahora nos enfrentamos a una era de “seguridad por contexto”, donde la veracidad del firmante es tan importante como la integridad del contrato inteligente.

En última instancia, lo ocurrido con Drift no fue solo una pérdida financiera; fue una demostración de que, en un mundo descentralizado, la confianza sigue siendo una divisa que los actores malintencionados están dispuestos a comprar, construir y, finalmente, usar para destruir el sistema desde adentro.