Explotación de deriva vinculada al esfuerzo de infiltración coordinada

• El hackeo de deriva drenó 285 millones de dólares en 12 minutos, pero la operación se construyó en seis meses.
• Los atacantes usaron ingeniería social y aprobaciones multisig prefirmadas para el ataque.
• Se utilizó un token falso (CVT) como garantía tras manipular la fijación de precios de oráculo con mínima liquidez.

Drift Protocol ha publicado un desglose detallado del exploit del 1 de abril que drenó 285 millones de dólares en fondos de usuarios y confirmó que el ataque no fue un simple error, sino una operación coordinada a largo plazo.

El equipo afirmó que el exploit fue el resultado de meses de infiltración dirigida, que combinó ingeniería social, exploits técnicos y actividad on-chain escenificada.

Infiltración de seis meses llevó a la brecha

Según Drift Protocol, el ataque comenzó ya en otoño de 2025. Personas que se hacían pasar por una firma de trading cuantitativo se acercaban a los colaboradores en múltiples conferencias de criptomonedas.

Construyeron credibilidad con el tiempo, mantuvieron discusiones técnicas, participaron en sesiones de trabajo y depositaron más de un millón de dólares en el protocolo. Se creó un grupo en Telegram y las interacciones continuaron durante meses.

A principios de 2026, se habían integrado completamente en el ecosistema de Drift mediante una estrategia de bóveda. Los colaboradores los habían conocido en persona varias veces, y se estableció la confianza, que se convirtió en el punto de entrada.

La ejecución del ataque fue rápida y la preparación lenta

El exploit real duró unos 12 minutos, pero la preparación llevó semanas en cadena y meses fuera de la cadena.

TRM Labs descubrió que la etapa comenzó el 11 de marzo. Los atacantes usaron Tornado Cash para financiar operaciones, desplegaron un token falso llamado CarbonVote (CVT) y construyeron un historial de precios artificial mediante wash trading.

Al mismo tiempo, se dirigieron a los signantes multifirma. Usando ingeniería social, obtenían aprobaciones para transacciones que parecían rutinarias pero contenían permisos ocultos.

El 27 de marzo se produjo un cambio crucial. Drift migró su Consejo de Seguridad a una configuración 2/5 con bloqueo de tiempo cero y eliminó la capa de retardo que podría haber detenido el ataque.

El 1 de abril, todo se ejecutó. El atacante incluyó CVT como garantía, infló su valor manipulando datos de Oracle y retiró activos reales como USDC en 31 transacciones. Los fondos se transferieron a Ethereum en cuestión de horas.

Puntos débiles clave: Multisig y diseño de oráculos

La infracción no se basó en un fallo de contrato inteligente. Explotó las debilidades del proceso. Primero, los firmantes multifirma aprobaban transacciones sin detectar acciones ocultas.

Segundo, la eliminación del bloqueo temporal eliminó la ventana de seguridad. En tercer lugar, el sistema oráculo aceptaba un activo falso con liquidez mínima como garantía válida.

La revisión interna de Drift también apunta a un posible compromiso a nivel de dispositivo. Un colaborador pudo haber sido expuesto a través de un repositorio de código malicioso. Otro puede haber instalado una aplicación TestFlight comprometida presentada como una cartera.

Una vulnerabilidad conocida en herramientas de desarrollo como VSCode pudo haber permitido la ejecución silenciosa de código.

Es importante señalar que Elliptic y TRM Labs señalaron patrones vinculados a operaciones norcoreanas. Estos incluyen el uso de Tornado Cash, el calendario alineado con los horarios de Pyongyang y el rápido blanqueo entre cadenas.

Drift afirmó que hay una confianza media-alta en que el mismo grupo responsable del hackeo de Radiant Capital en octubre de 2024 está implicado. El grupo ha sido vinculado a UNC4736, también conocido como AppleJeus o Citrine Sleet.

Relacionado: Una brecha de protocolo de deriva provoca pérdidas de hasta 285 millones de dólares y el token cae un 42%