Puntos clave de la noticia:
- Drift Protocol atribuyó un grado de «confianza media-alta» al hackeo de $285 millones a UNC4736, un grupo afiliado al Estado norcoreano.
- Los atacantes pasaron seis meses infiltrándose: asistieron a conferencias, depositaron $1 millón y borraron todos los rastros tras ejecutar el exploit.
- La investigadora Taylor Monahan identificó más de 40 protocolos DeFi que habrían tenido trabajadores norcoreanos en distintas etapas de su desarrollo.
Drift Protocol reveló que el exploit donde perdió aproximadamente $285 millones de su exchange descentralizado en Solana fue una operación de inteligencia estructurada durante seis meses, atribuida con «confianza media-alta» al grupo UNC4736, también conocido como AppleJeus o Citrine Sleet, una unidad vinculada al Estado de Corea del Norte y responsable del hackeo a Radiant Capital en 2024.
Según el reporte del incidente, los atacantes se presentaron por primera vez en una conferencia cripto el otoño pasado bajo la identidad de una firma de trading cuantitativo interesada en integrarse con la plataforma. A lo largo de los meses siguientes, construyeron un vínculo de confianza mediante reuniones presenciales y coordinación por Telegram, lanzaron un Ecosystem Vault dentro de Drift y depositaron más de $1 millón de capital propio. Al momento de ejecutar el exploit, eliminaron todo rastro: los chats y el malware fueron, según el protocolo, «completamente borrados».
Drift: Manipulación, Identidades Falsas y Vulnerabilidades
El informe señala que el ataque pudo haberse valido de un repositorio de código malicioso, una aplicación TestFlight falsa y una vulnerabilidad en VSCode o Cursor que permitió la ejecución silenciosa de código. Los individuos que se reunieron en persona con los colaboradores del protocolo no eran nacionales norcoreanos, sino intermediarios con identidades construidas, estos contaban con historiales laborales y credenciales públicas verificables.
Michael Pearl, vicepresidente de Estrategia de la firma de seguridad Cyvers, señaló que el caso Drift replica el patrón del hackeo que sufrió Bybit: los firmantes no fueron comprometidos directamente a nivel de protocolo, sino manipulados para aprobar transacciones maliciosas. «Los equipos de seguridad deben migrar hacia la validación pre-transacción a nivel blockchain», advirtió.
Lazarus Group Ha Robado Unos $7.000 Millones
La investigadora de seguridad Taylor Monahan, desarrolladora de MetaMask, publicó una lista de más de 40 plataformas DeFi que habrían tenido trabajadores norcoreanos integrados en distintas etapas de su desarrollo. «Los trabajadores IT de Corea del Norte construyeron los protocolos que conocés y usás, remontándose al DeFi Summer», escribió. El investigador blockchain ZachXBT precisó que el ya conocido ‘Lazarus Group‘ es el nombre colectivo para todos los actores cibernéticos patrocinados por el Estado norcoreano, y estimó que el grupo ha robado alrededor de $7.000 millones en criptomonedas desde 2017.
