El protocolo Drift sufre un robo de 285 millones de dólares: los hackers norcoreanos se prepararon durante 6 meses y utilizaron Durable Nonce para eludir las firmas múltiples

El 1 de abril, el conocido protocolo de derivados Drift Protocol en la red Solana fue atacado por un hacker, con una pérdida de aproximadamente 285M de dólares. El valor total bloqueado (TVL) pasó de alrededor de 550 millones de dólares antes del incidente a caer bruscamente hasta aproximadamente 230 millones de dólares después del incidente. El equipo de Drift publicó posteriormente un informe de investigación detallado, revelando que se trató de un ataque de ingeniería social que duró 6 meses y contó con respaldo de recursos a nivel estatal.

6 meses de acecho: de la conferencia de criptomonedas al repositorio de código

Según la investigación de Drift, el atacante comenzó a desplegarse ya en el otoño de 2025. Se hicieron pasar por una empresa de trading cuantitativo legítima, contactaron a los contribuyentes de Drift en múltiples conferencias de criptomonedas y establecieron relaciones profesionales que parecían reales. Durante el período de infiltración de 6 meses, el atacante:

Creó un grupo de Telegram y discutió estrategias de trading con el equipo de Drift

Estableció credibilidad en el ecosistema Vault con fondos reales (más de 1 millón de dólares)

Realizó múltiples reuniones de trabajo en varios países

Finalmente, la intrusión pudo haberse completado mediante dos vías: un contribuyente copió un repositorio de código que podría aprovechar una vulnerabilidad conocida de VSCode/Cursor; y otro contribuyente descargó la app TestFlight que el atacante ofreció bajo el nombre de “producto de wallet”.

Técnicas: uso de transacciones prefirmadas con Durable Nonce para eludir firmas múltiples

A nivel técnico, el atacante utilizó el mecanismo de la cuenta “Durable Nonce” en Solana: una función que permite prefirmar transacciones y retrasar su ejecución. El atacante la aprovechó para preparar de antemano todas las firmas de las transacciones maliciosas, y una vez que obtuvo los permisos suficientes, las ejecutó instantáneamente, dejando muy poco tiempo de reacción a la parte defensora.

El atacante obtuvo rápidamente el control de la administración del comité de seguridad de Drift y, después, vació los activos correspondientes. Drift enfatizó posteriormente que todos los miembros de las multisig usaban carteras frías, pero aun así no pudieron impedir el ataque, lo que demuestra que “cuando el ataque se fija en el nivel humano, incluso un control estricto del hardware puede ser eludido”.

Apuntando a Corea del Norte UNC4736: la misma línea que atacó a Radiant Capital

Drift indicó que, con “alta confianza moderada”, atribuyeron el ataque a UNC4736 (también conocido como Citrine Sleet, AppleJeus), una organización de hackers vinculada al gobierno norcoreano. La investigación señaló que el patrón del incidente coincide fuertemente con el ataque de octubre de 2024 que causó pérdidas de 58 millones de dólares a Radiant Capital, por lo que creen que provino del mismo grupo de actores.

Críticas a Circle: ¿por qué no pudo congelar al instante el USDC robado?

Tras el ataque, otro foco de controversia fue la rapidez de respuesta de Circle. Según los datos de PeckShield, los atacantes robaron aproximadamente 71 millones de dólares en USDC de Drift, y después de convertir otros activos robados a USDC, mediante el protocolo de transferencia entre cadenas de Circle (CCTP) conectaron alrededor de 232 millones de dólares en USDC desde el puente de Solana hacia Ethereum, aumentando considerablemente la dificultad del seguimiento y recuperación.

El investigador on-chain ZachXBT criticó la acción de Circle por ser demasiado lenta y señaló una comparación irónica: justo el mismo día en que los atacantes configuraron la cuenta Durable Nonce (23 de marzo), Circle congeló en cuestión de minutos 16 carteras calientes comerciales, debido a una demanda civil en EE. UU.; sin embargo, frente a un ataque DeFi cuyo alcance supera ampliamente los nueve dígitos, no hubo una acción igual de rápida.

La respuesta de Circle fue: “Circle es una empresa regulada y opera de manera adecuada conforme a los requisitos de sanciones, órdenes de aplicación de la ley y órdenes judiciales. Congelamos activos cuando la ley lo exige, para cumplir el estado de derecho y proteger los derechos y la privacidad de los usuarios”. El asesor legal de Plume, por su parte, pidió que el órgano legislativo establezca un mecanismo de “puerto seguro” para que los emisores de stablecoins puedan congelar activos cuando haya motivos razonables para creer que los fondos podrían estar implicados en actividades ilegales, y así evitar la responsabilidad civil.

Advertencia para la industria DeFi

El anuncio de Drift provocó una gran atención en la industria. Este ataque deja claro que organizaciones de hackers a nivel estatal están llevando a cabo acciones de inteligencia humana (HUMINT) contra protocolos DeFi durante meses, en lugar de depender únicamente de fallas técnicas. Las lecciones clave incluyen: no copiar repositorios externos en máquinas que interactúen con claves de producción o con multisig; no instalar aplicaciones de terceros ni abrir enlaces desconocidos; y aislar de forma total los dispositivos y los permisos de acceso debe implementarse rigurosamente.

Este artículo: Drift Protocol robó 285M de dólares: los hackers norcoreanos prepararon 6 meses y usaron Durable Nonce para eludir las firmas múltiples; aparece por primera vez en Cadena News ABMedia.