Puntos Clave de la Noticia
- Vínculo con la RPDC: Elliptic afirma que el exploit a Drift Protocol muestra patrones de comportamiento y lavado consistentes con las operaciones de Corea del Norte, marcando el que podría ser el decimoctavo incidente de este tipo en el año.
- Escala del ataque: El atacante drenó múltiples bóvedas y robó diversos activos, provocando que el TVL cayera de $550 millones a menos de $250 millones, para luego enviar los fondos a Ethereum y acumular grandes cantidades de ETH.
- Desafío de rastreo: La estructura de cuentas de Solana fragmentó la actividad, pero las herramientas de agrupación de Elliptic lograron vincularlas, revelando flujos de lavado entre cadenas que resaltan la necesidad de capacidades de rastreo más amplias.
El último análisis de Elliptic apunta a un ataque coordinado y altamente estructurado contra Drift Protocol, identificando múltiples indicadores que coinciden con operaciones previas atribuidas a actores vinculados a la RPDC (Corea del Norte). La firma destaca el comportamiento onchain, los patrones de lavado y las señales a nivel de red que reflejan campañas anteriores respaldadas por el estado, lo que refuerza las preocupaciones sobre la escala y sofisticación detrás del robo de $285 millones. El incidente se desarrolla en un contexto de escalada en la actividad del aparato cibernético de Corea del Norte, que ha apuntado cada vez más a las principales plataformas del ecosistema cripto.
Elliptic cita patrones operativos familiares de la RPDC
Según Elliptic, el exploit contra Drift Protocol refleja un enfoque premeditado, con transacciones de prueba iniciales y wallets preposicionadas que aparecieron días antes del evento principal. El atacante drenó la liquidez de múltiples bóvedas en una hora, consolidando rápidamente los activos e iniciando intercambios (swaps) diseñados para ocultar el origen mientras mantenía el control. La firma señala que estos pasos se asemejan a los flujos de lavado observados en incidentes previos atribuidos a la RPDC. De confirmarse, este sería el decimoctavo acto de este tipo que Elliptic rastrea en lo que va del año.
Escala del ataque y movimientos de activos
La brecha de seguridad provocó que Drift Protocol perdiera una amplia gama de activos, incluyendo JLP, USDC, SOL, cbBTC y wBTC; la transferencia individual más grande involucró aproximadamente 41,7 millones de tokens JLP valorados en $155 millones. El valor total bloqueado (TVL) colapsó de unos $550 millones a menos de $250 millones tras el exploit. Después de vaciar las bóvedas, el atacante utilizó Jupiter para convertir la mayoría de los tokens en USDC antes de enviar los fondos a Ethereum, donde se acumularon cantidades significativas de ETH. Además, parte de SOL fue enviada tanto a exchanges descentralizados como centralizados.
La arquitectura de Solana complica la atribución
Elliptic enfatiza que el modelo de cuentas de Solana complica las investigaciones, ya que cada tipo de activo reside en una cuenta de token separada. Por ello, la actividad vinculada a Drift Protocol aparece fragmentada en múltiples direcciones. Sin vincular estas cuentas, los investigadores corren el riesgo de perder la visión general. El enfoque de agrupación (clustering) de Elliptic conecta las cuentas de tokens relacionadas con una sola entidad, permitiendo una comprensión más clara de la exposición en todos los activos robados.
El lavado entre cadenas resalta la evolución de las tácticas
El proceso de lavado se extendió más allá de Solana, con fondos moviéndose hacia Ethereum y otras redes. Elliptic sostiene que el caso de Drift Protocol subraya la necesidad de contar con capacidades integrales de rastreo entre cadenas, especialmente a medida que los atacantes dispersan cada vez más los activos en múltiples Blockchains para evadir la detección.
