Acabo de leer un análisis bastante inquietante sobre lo que pasó con Drift Protocol hace poco. Resulta que el exploit de 270 millones de dólares no fue un ataque aleatorio, sino una operación de inteligencia norcoreana meticulosamente planificada que duró aproximadamente seis meses.

Lo más preocupante es cómo lo hicieron. Un grupo afiliado al Estado norcoreano se infiltró en el ecosistema de Drift fingiendo ser una firma de trading cuantitativo. Para entender qué es Drift y cómo funciona, necesitas saber que es un protocolo DeFi que se basa en múltiples firmas para seguridad. Pues bien, estos atacantes fueron increíblemente pacientes y sofisticados. Primero hicieron contacto alrededor del otoño de 2025 en una conferencia importante de criptomonedas, presentándose como especialistas en trading. Tenían credenciales profesionales verificables, hablaban el idioma técnico del protocolo y sabían exactamente qué decir.

Durante meses mantuvieron conversaciones sustanciales sobre estrategias y bóvedas de ecosistema, algo completamente normal en cómo las firmas se integran en protocolos DeFi. Entre diciembre de 2025 y enero de 2026, incorporaron una Bóveda del Ecosistema, realizaron sesiones de trabajo con colaboradores de Drift, depositaron más de un millón de dólares de su propio capital y se establecieron operacionalmente dentro del ecosistema. Lo más audaz fue que se reunieron en persona con los equipos de Drift en múltiples conferencias importantes durante febrero y marzo. Para abril, cuando lanzaron el ataque, la relación tenía casi medio año de antigüedad.

La infiltración ocurrió a través de dos vectores técnicos. Primero, descargaron una aplicación de TestFlight, la plataforma de Apple que distribuye apps en versión preliminar sin revisión de seguridad, presentándola como su producto de cartera. Segundo, explotaron una vulnerabilidad conocida en VSCode y Cursor, dos de los editores de código más usados en desarrollo, donde simplemente abrir un archivo ejecutaba código arbitrario sin aviso. Una vez comprometidos los dispositivos, obtuvieron lo necesario para conseguir las dos aprobaciones multisig que permitieron el ataque del 1 de abril, drenando 270 millones de dólares en menos de un minuto.

Los investigadores atribuyeron todo esto a UNC4736, también conocido como AppleJeus o Citrine Sleet, un grupo afiliado al Estado norcoreano. Lo interesante es que los individuos que se reunieron en persona no eran ciudadanos norcoreanos, sino intermediarios con identidades completamente construidas, historiales laborales falsos y redes profesionales diseñadas para pasar cualquier verificación.

Esto expone algo incómodo para toda la industria DeFi: si los atacantes están dispuestos a invertir seis meses y un millón de dólares en construir una presencia legítima, reunirse con equipos en persona y esperar pacientemente, ¿qué modelo de seguridad está realmente diseñado para detectar eso? Drift ahora advierte que la industria debe auditar contratos de acceso y tratar cada dispositivo que interactúe con multisigs como un objetivo potencial. La pregunta de fondo es si las multisigs como principal modelo de seguridad en DeFi son suficientes contra adversarios de este nivel.