**Drift Protocol** confirmó que los atacantes sustrajeron aproximadamente $285 millones de la plataforma durante un incidente de seguridad el 1 de abril de 2026. ### Detalles del Ataque Según **Drift**, un actor malicioso obtuvo acceso no autorizado a través de un novedoso ataque que involucraba "durable nonces", lo que llevó a una rápida toma de control de los poderes administrativos del Consejo de Seguridad. La compañía lo describió como una operación altamente sofisticada que implicó una preparación de varias semanas y una ejecución escalonada, incluyendo el uso de cuentas "durable nonce" para pre-firmar transacciones con ejecución diferida. **Drift** enfatizó que el ataque no explotó una vulnerabilidad en sus programas o contratos inteligentes, y no hay evidencia de compromiso de "seed phrases". En cambio, la brecha involucró aprobaciones de transacciones no autorizadas o mal representadas obtenidas antes de la ejecución, probablemente facilitadas a través de mecanismos de "durable nonce" e ingeniería social sofisticada. Los atacantes obtuvieron suficientes aprobaciones multifirma (multisig) y ejecutaron una transferencia administrativa maliciosa para obtener control de los permisos a nivel de protocolo. Este control se aprovechó luego para introducir un activo malicioso y eliminar todos los límites de retiro preestablecidos, permitiendo a los atacantes sustraer los fondos existentes. ### Cronología e Investigación La cronología de **Drift** indica que los preparativos para el hack comenzaron tan pronto como el 23 de marzo de 2026. La compañía está coordinando con múltiples firmas de seguridad para determinar la causa del incidente y trabajando con puentes (bridges), exchanges y autoridades para rastrear y congelar los activos robados. Un análisis de **PIF Research Labs** reveló que los activos fueron sustraídos en 10 segundos, vaciando las bóvedas principales en un tiempo notablemente corto. ### Conexión Norcoreana Informes separados de **Elliptic** y **TRM Labs** sugieren indicios en la cadena de bloques de que ladrones de criptomonedas norcoreanos podrían estar detrás del robo. Estas indicaciones incluyen el uso de **Tornado Cash** para la preparación inicial, así como patrones de "cross-chain bridging" y la velocidad y escala del lavado de dinero posterior al hack, consistentes con ataques previos atribuidos a actores de amenaza norcoreanos, incluido el exploit de **Bybit** de 2025. **TRM Labs** destacó que la vulnerabilidad crítica no fue un error de contrato inteligente, sino una combinación de ingeniería social para que los firmantes de multisig pre-firmaran autorizaciones ocultas y una migración del Consejo de Seguridad sin "timelock". El atacante fabricó un activo ficticio – CarbonVote Token – que los oráculos de **Drift** trataron como colateral legítimo. El análisis de **Elliptic** se alinea con el "tradecraft" conocido asociado con actores de amenaza de la República Popular Democrática de Corea (RPDC), señalando que este incidente representaría la decimoctava acción de la RPDC rastreada desde el inicio del año, con más de $300 millones robados hasta la fecha. Enfatizan que esto es una continuación de la campaña sostenida de la RPDC de robo a gran escala de criptoactivos, vinculada a la financiación de sus programas de armas, con más de $6.5 mil millones en criptoactivos robados en los últimos años. ### Ingeniería Social y Amenazas Continuas La ingeniería social sigue siendo la principal vía de acceso inicial, aprovechando personas persuasivas y señuelos para atacar los sectores de criptomonedas y Web3 a través de campañas rastreadas como **DangerousPassword** y **Contagious Interview**. Las ganancias combinadas de estas campañas suman $37.5 millones este año. **Elliptic** advierte que la evolución de las técnicas de ingeniería social de la RPDC, combinada con la creciente disponibilidad de IA, significa que la amenaza se extiende más allá de los exchanges, apuntando a desarrolladores individuales, contribuyentes de proyectos y cualquier persona con acceso a la infraestructura de criptoactivos. Este incidente también coincide con el compromiso de la cadena de suministro del popular paquete npm Axios, atribuido a un grupo de hackers norcoreanos llamado UNC1069, que se superpone con BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet y Stardust Chollima. Proveedores de seguridad como **Google**, **Microsoft**, **CrowdStrike** y **Sophos** han vinculado a este grupo con la generación de ingresos para el régimen norcoreano.