Hackeo del Drift Protocol
El cofundador de Solana, Anatoly Yakovenko, ha calificado el reciente hackeo del Drift Protocol como «terrificante«, tras revelarse que fue el resultado de un sofisticado ataque de ingeniería social llevado a cabo por hackers norcoreanos. Según informó U.Today, el Drift Protocol fue despojado de 270 millones de dólares, lo que lo convierte en el mayor hackeo en la historia de Solana dentro de su ecosistema.
Como consecuencia, el protocolo se vio obligado a detener todos los depósitos y retiros, advirtiendo explícitamente a los usuarios que el incidente no era una broma del Día de los Inocentes.
Detalles del Ataque
El informe, compartido recientemente por Drift Protocol, ha revelado que los actores maliciosos detrás de este hackeo histórico acosaron físicamente y utilizaron ingeniería social con los desarrolladores en la vida real, lo que requirió una alarmante paciencia y recursos. Se sospecha fuertemente que la operación es obra de un grupo de amenazas afiliado al estado norcoreano.
A finales de 2025, intermediarios de terceros (que no eran norcoreanos) se acercaron físicamente a los colaboradores de Drift en importantes conferencias de criptomonedas. Los atacantes, que presumían de antecedentes profesionales verificables y fluidez técnica, se hicieron pasar por una firma de trading cuantitativo que buscaba integrarse con el protocolo.
La Falsa Integración
La falsa firma de trading incorporó un Ecosystem Vault en Drift entre diciembre de 2025 y enero de 2026, depositando más de un millón de dólares de su propio capital. Los atacantes lograron mantener la ilusión durante medio año, trabajando estrechamente con los colaboradores de Drift a través de múltiples sesiones de trabajo y reuniéndose cara a cara en varias conferencias internacionales hasta febrero y marzo de 2026.
Para abril, habían establecido con éxito una relación comercial de confianza. Los colaboradores de Drift no sospecharon de juego sucio cuando el grupo compartió enlaces a proyectos que afirmaban estar desarrollando. Un colaborador clonó un repositorio de código compartido por los atacantes, que probablemente contenía una vulnerabilidad conocida que afectaba a los editores de texto VSCode y Cursor. Un segundo colaborador fue convencido de descargar una falsa aplicación TestFlight.
Los atacantes eliminaron todos sus chats de Telegram y borraron el software malicioso después del exitoso exploit.
