Drift Protocol dijo que el ataque del 1 de abril contra su plataforma siguió meses de planificación y de ingeniería social

Resumen

• Drift dijo que los atacantes pasaron seis meses construyendo confianza antes de usar herramientas maliciosas para vulnerar los dispositivos de los colaboradores.
• El intercambio vinculó el exploit con una confianza media-alta a los actores detrás del hack de octubre de 2024 de Radiant Capital.
• Drift dijo que el contacto repetido en persona en eventos cripto ayudó a los atacantes a estudiar a los colaboradores y obtener acceso.

El exchange descentralizado vinculó el caso con un grupo que pasó tiempo construyendo confianza con los colaboradores antes de enviar herramientas y enlaces maliciosos. Estimaciones externas situaron la pérdida en unos $280 millones.

Drift Protocol dijo que su revisión inicial encontró una campaña larga y organizada contra la plataforma. El equipo dijo que los atacantes mostraron “respaldo organizacional, recursos y meses de preparación deliberada” durante la operación.

El exchange dijo que el contacto comenzó alrededor de octubre de 2025. Según Drift, personas que se hacían pasar por miembros de una firma de trading cuantitativo se acercaron a colaboradores en una importante conferencia cripto y dijeron que querían integrarse con el protocolo.

Las reuniones presenciales construyeron confianza con el tiempo

Drift dijo que el grupo siguió reuniéndose con colaboradores en varios eventos del sector durante los siguientes seis meses. El equipo dijo que las personas involucradas tenían habilidades técnicas, sabían cómo funcionaba Drift y parecían contar con antecedentes profesionales reales.

Ese contacto constante ayudó al grupo a ganar confianza. Drift dijo que los atacantes más tarde usaron enlaces y herramientas maliciosas compartidas con los colaboradores para comprometer dispositivos, llevar a cabo el exploit y eliminar rastros de su actividad después de la intrusión.

Además, Drift dijo que tiene “confianza media-alta” de que los mismos actores detrás del hack de Radiant Capital de octubre de 2024 llevaron a cabo este exploit. Ese ataque anterior causó pérdidas de unos $58 millones e involucró también malware usado para obtener acceso a sistemas internos.

Radiant Capital dijo en diciembre de 2024 que un hacker alineado con Corea del Norte se hizo pasar por un ex contratista y envió malware a través de Telegram. Radiant Capital dijo que “este archivo ZIP” más tarde se extendió entre desarrolladores para obtener retroalimentación y abrió el camino para la intrusión.

Drift advierte que las conferencias pueden convertirse en objetivos de ataque

Drift dijo que las personas que se reunieron con colaboradores en persona “no eran nacionales de Corea del Norte”. Al mismo tiempo, el equipo dijo que los actores de amenazas vinculados con la RPDK a menudo usan intermediarios de terceros para el contacto cara a cara y la construcción de relaciones.

El intercambio dijo que ahora está trabajando con las fuerzas del orden público y otros participantes de la industria cripto para construir un registro completo del ataque del 1 de abril

El caso también ha añadido una advertencia nueva para las empresas cripto, ya que las conferencias y las reuniones presenciales pueden dar a los grupos de amenazas la oportunidad de estudiar a los equipos, construir confianza y preparar ataques posteriores.