**Drift Protocol** informa que el reciente hackeo de más de $280 millones fue el resultado de una operación a largo plazo que implicó el establecimiento de "una presencia operativa funcional dentro del ecosistema de **Drift**". El 1 de abril, la plataforma detectó actividad inusual, confirmando la pérdida de fondos debido a un sofisticado ataque que secuestró los poderes administrativos del Consejo de Seguridad. Las firmas de inteligencia blockchain **Elliptic** y **TRM Labs** han atribuido el robo a hackers norcoreanos, quienes supuestamente drenaron los activos de los usuarios en aproximadamente 12 minutos. La investigación reveló que los hackers habían estado preparando el ataque durante al menos seis meses, haciéndose pasar por representantes de una firma cuantitativa. Se acercaron a los colaboradores de **Drift** en persona en varias conferencias de criptomonedas. "Ahora se entiende que este parece ser un enfoque dirigido, donde individuos de este grupo continuaron buscando y contactando deliberadamente a colaboradores específicos de **Drift**, en persona, en múltiples conferencias importantes de la industria en varios países durante los siguientes seis meses", declaró la compañía. Los actores de amenazas se comunicaron con sus objetivos a través de **Telegram**, discutiendo estrategias de trading e integraciones potenciales de bóvedas. Demostraron competencia técnica y familiaridad con las operaciones de **Drift**, imitando los intercambios típicos de incorporación entre firmas de trading y la plataforma. El grupo de **Telegram** utilizado para interactuar con los colaboradores fue eliminado inmediatamente después del robo. ### Vectores de Ataque **Drift** cree que dos colaboradores fueron comprometidos a través de: * Un repositorio de código malicioso compartido con un colaborador, que potencialmente explotó una vulnerabilidad de **VSCode**/Cursor que permitió la ejecución silenciosa de código. * Una aplicación maliciosa de **TestFlight** presentada como un producto de billetera. ### Atribución Las investigaciones de **Elliptic** y **TRM Labs** sugieren firmemente la participación de un actor de amenazas norcoreano. Los hallazgos de **Drift** también indican con una confianza media-alta que el ataque fue perpetrado por **UNC4736** (también conocido como **AppleJeus** y **Labyrinth Chollima**), un actor de amenazas previamente vinculado a Corea del Norte por múltiples empresas de seguridad. **Mandiant** ha asociado a **UNC4736** con **Lazarus**. Se cree que este mismo grupo es responsable del ataque a la cadena de suministro de **3CX** en 2023, el robo de criptomonedas de **Radiant** por $50 millones en 2024 y la explotación de vulnerabilidades 0-day de **Chrome**. Notablemente, los individuos que se reunieron con los colaboradores de **Drift** en las conferencias eran intermediarios no norcoreanos. ### Estado Actual Todas las funciones de **Drift Protocol** están actualmente congeladas, y las billeteras comprometidas han sido eliminadas del proceso multisig. **Drift** ha marcado las billeteras de los atacantes en exchanges y operadores de puentes para evitar el movimiento o retiro de los fondos robados.