Intercambio descentralizado basado en Solana Deriva ha confirmado que los atacantes drenaron en torno a de 285 millones de dólares de la plataforma durante un incidente de seguridad que tuvo extensión el 1 de abril de 2026.
“Hoy, un actor sagaz obtuvo ataque no facultado al Protocolo Drift a través de un nuevo ataque que involucra nonces duraderos, lo que resultó en una rápida toma de control de los poderes administrativos del Consejo de Seguridad de Drift”, dijo la compañía en una serie de publicaciones en X.
“Esta fue una operación enormemente sofisticada que parece favor implicado una preparación de varias semanas y una ejecución por etapas, incluido el uso de cuentas nonce duraderas para prefirmar transacciones que retrasaron la ejecución”.
Drift señaló que el ataque no aprovechó una vulnerabilidad en sus programas o contratos inteligentes, y que no hay evidencia de frases iniciales comprometidas. Más adecuadamente, se dice que la violación “involucró aprobaciones de transacciones no autorizadas o tergiversadas obtenidas ayer de la ejecución, probablemente facilitadas a través de mecanismos nonce duraderos e ingeniería social sofisticada”, explicó.
Con ese fin, los actores de amenazas obtuvieron suficientes aprobaciones de firmas múltiples (multifirmas) y ejecutaron una transferencia de administrador maliciosa en cuestión de minutos para obtener el control de los permisos a nivel de protocolo, aprovechándolos en última instancia para “introducir un activo sagaz y eliminar todos los límites de retiro preestablecidos, atacando los fondos existentes”.
Según una cronología de eventos compartida por Drift, los preparativos para el ataque estaban en marcha ya el 23 de marzo de 2026. La compañía dijo que está coordinando con múltiples firmas de seguridad para determinar la causa del incidente, agregando que está trabajando con puentes, intercambios y fuerzas del orden para rastrear y congelar los activos robados.
Un investigación de PIF Research Labs revela que los activos se agotaron en 10 segundos. “Desde el primer retiro (41,72 millones de JLP a las 16:06:09) hasta el zaguero retiro primario (2200 wETH a las 16:06:19)”, decía. “Las bóvedas principales se vaciaron en el tiempo que lleva despachar un mensaje de texto”.
En informes separados publicados el jueves, tanto Elliptic como TRM Labs dijeron que hay indicios en la dependencia de que los ladrones de criptomonedas de Corea del Ideal pueden estar detrás del atraco de criptomonedas.
Esto incluyó el uso de Tornado Cash para la puesta en imagen original, así como los patrones de puenteo entre cadenas y la velocidad y escalera del lavado posterior al hackeo que son consistentes con hackeos previamente atribuidos a actores de amenazas norcoreanos, incluido el exploit masivo de Bybit de 2025.
“La vulnerabilidad crítica no fue un error de acuerdo inteligente, sino una combinación de firmantes multifirma de ingeniería social para firmar previamente autorizaciones ocultas y una migración del Consejo de Seguridad con cerco de tiempo cero que eliminó la última secante de defensa del protocolo”, dijo TRM Labs.
“El atacante fabricó un activo completamente ficticio, CarbonVote Token, con unos pocos miles de dólares en solvencia original y operaciones de lavado, y los oráculos de Drift lo trataron como una señal legítima por valía de cientos de millones de dólares”.
La firma de inteligencia blockchain además señaló que el token CarbonVote se implementó a las 09:30 hora de Pyongyang.
Elliptic, en su propio investigación del incidente de seguridad, dijo que el comportamiento en dependencia, las metodologías de lavado y los indicadores a nivel de red se alinean con el arte conocido asociado con actores de amenazas de la República Popular Democrática de Corea (RPDC).
La compañía además señaló que, si se confirma, este incidente “representaría el decimoctavo acto de la RPDC” que ha seguido desde principios de año, con más de 300 millones de dólares robados hasta la vencimiento.
“Es una continuación de la campaña sostenida de la RPDC de robo de criptoactivos a gran escalera, que el gobierno de Estados Unidos ha vinculado con la financiación de sus programas de armas”, dijo Elliptic. “Se cree que los actores vinculados a la RPDC han robado más de 6.500 millones de dólares en criptoactivos en los últimos abriles”.
Se estima que la operación de robo de criptoactivos de Corea del Ideal generó un récord de 2 mil millones de dólares en 2025, de los cuales aproximadamente 1,46 mil millones de dólares se originaron en el hackeo de Bybit en febrero de 2025.
La ingeniería social sigue siendo la principal vía de ataque original a través de la cual se ejecutan estos ataques, aprovechando personas y señuelos persuasivos para apuntar a los sectores de criptomonedas y Web3 a través de campañas rastreadas como DangerousPassword (además conocido como CageyChameleon, CryptoMimic y CryptoCore) y Contagious Interview. A finales de febrero de 2026, las ganancias combinadas de las campañas gemelas totalizan 37,5 millones de dólares este año.
“La operación de robo de criptoactivos de la RPDC no es una serie de incidentes aislados. Es una campaña sostenida y adecuadamente dotada de bienes que está creciendo en escalera y sofisticación”, dijo Elliptic.
“La progreso de las técnicas de ingeniería social de la RPDC, combinada con la creciente disponibilidad de IA para refinar y perfeccionar estos métodos, significa que la amenaza se extiende mucho más allá de los intercambios. Los desarrolladores individuales, los contribuyentes de proyectos y cualquier persona con ataque a la infraestructura de criptoactivos son un objetivo potencial”.
El exposición coincide con el compromiso de la dependencia de suministro del popular paquete Axios npm, que múltiples proveedores de seguridad, incluidos Google, Microsoft, CrowdStrike y Sophos, han atribuido a un especie de piratería norcoreano llamado UNC1069, que se superpone con BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet y Stardust Chollima.
“Este especie patrocinado por el Estado se centra en difundir ingresos para el régimen norcoreano”, dijo Sophos. “Los artefactos incluyen metadatos forenses idénticos y patrones de comando y control (C2), así como conexiones con malware utilizado exclusivamente por Nickel Gladstone. Según estos artefactos, es muy probable que Nickel Gladstone sea responsable de los ataques de Axios”.
