Intercambio descentralizado basado en Solana Deriva ha confirmado que los atacantes drenaron alrededor de 285 millones de dólares de la plataforma durante un incidente de seguridad que tuvo lugar el 1 de abril de 2026.
«Hoy, un actor malicioso obtuvo acceso no autorizado al Protocolo Drift a través de un nuevo ataque que involucra nonces duraderos, lo que resultó en una rápida toma de control de los poderes administrativos del Consejo de Seguridad de Drift», dijo la compañía. dicho en una serie de publicaciones sobre X.
«Esta fue una operación altamente sofisticada que parece haber implicado una preparación de varias semanas y una ejecución por etapas, incluido el uso de cuentas nonce duraderas para prefirmar transacciones que retrasaron la ejecución».
Drift señaló que el ataque no aprovechó una vulnerabilidad en sus programas o contratos inteligentes, y que no hay evidencia de frases iniciales comprometidas. Más bien, se dice que la violación «involucró aprobaciones de transacciones no autorizadas o tergiversadas obtenidas antes de la ejecución, probablemente facilitadas a través de mecanismos nonce duraderos e ingeniería social sofisticada», explicó.
Para ello, los actores de amenazas obtuvieron suficientes aprobaciones de firmas múltiples (multifirma) y ejecutó una transferencia de administrador maliciosa en cuestión de minutos para obtener el control de los permisos a nivel de protocolo y, en última instancia, aprovecharlos para «introducir un activo malicioso y eliminar todos los límites de retiro preestablecidos, atacando los fondos existentes».
Según una cronología de eventos compartida por Drift, los preparativos para el ataque estaban en marcha ya el 23 de marzo de 2026. La compañía dijo que está coordinando con múltiples firmas de seguridad para determinar la causa del incidente, agregando que está trabajando con puentes, intercambios y fuerzas del orden para rastrear y congelar los activos robados.
En informes separados publicados el jueves, tanto Elliptic como TRM Labs dijeron que hay indicios en la cadena de que los ladrones de criptomonedas de Corea del Norte pueden estar detrás del atraco de criptomonedas.
«La vulnerabilidad crítica no fue un error de contrato inteligente, sino una combinación de firmantes multifirma de ingeniería social para firmar previamente autorizaciones ocultas y una migración del Consejo de Seguridad con bloqueo de tiempo cero que eliminó la última línea de defensa del protocolo», TRM Labs dicho.
«El atacante fabricó un activo completamente ficticio, CarbonVote Token, con unos pocos miles de dólares en liquidez inicial y operaciones de lavado, y los oráculos de Drift lo trataron como una garantía legítima por valor de cientos de millones de dólares».
La firma de inteligencia blockchain también señaló que el token CarbonVote se implementó a las 09:30 hora de Pyongyang.
Elliptic, en su propio análisis del incidente de seguridad, dijo que el comportamiento en cadena, las metodologías de lavado y los indicadores a nivel de red se alinean con el arte conocido asociado con actores de amenazas de la República Popular Democrática de Corea (RPDC).
La compañía también señaló que, si se confirma, este incidente «representaría el decimoctavo acto de la RPDC» que ha seguido desde principios de año, con más de 300 millones de dólares robados hasta la fecha.
«Es una continuación de la campaña sostenida de la RPDC de robo de criptoactivos a gran escala, que el gobierno de Estados Unidos ha vinculado con la financiación de sus programas de armas», Elliptic dicho. «Se cree que los actores vinculados a la RPDC han robado más de 6.500 millones de dólares en criptoactivos en los últimos años».
Se estima que la operación de robo de criptoactivos de Corea del Norte generó un récord de 2 mil millones de dólares en 2025, de los cuales aproximadamente 1,46 mil millones de dólares se originaron en el hackeo de Bybit en febrero de 2025.
La principal vía de acceso inicial a través de la cual se ejecutan estos ataques sigue siendo la ingeniería social, aprovechando personas y señuelos persuasivos para apuntar a los sectores de criptomonedas y Web3 a través de campañas rastreadas como DangerousPassword (también conocido como CageyChameleon, CryptoMimic y CryptoCore) y Contagious Interview. A finales de febrero de 2026, las ganancias combinadas de las campañas gemelas totalizan 37,5 millones de dólares este año.
«La operación de robo de criptoactivos de la RPDC no es una serie de incidentes aislados. Es una campaña sostenida y bien dotada de recursos que está creciendo en escala y sofisticación», Elliptic dicho.
«La evolución de las técnicas de ingeniería social de la RPDC, combinada con la creciente disponibilidad de IA para refinar y perfeccionar estos métodos, significa que la amenaza se extiende mucho más allá de los intercambios. Los desarrolladores individuales, los contribuyentes de proyectos y cualquier persona con acceso a la infraestructura de criptoactivos son un objetivo potencial».
El desarrollo coincide con el compromiso de la cadena de suministro del popular paquete Axios npm, que múltiples proveedores de seguridad, incluidos Google, Microsoft, CrowdStrike y Sophos, han atribuido a un grupo de piratería norcoreano llamado UNC1069, que se superpone con BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet y Stardust Chollima.
«Este grupo patrocinado por el Estado se centra en generar ingresos para el régimen norcoreano», Sophos dicho. «Los artefactos incluyen metadatos forenses idénticos y patrones de comando y control (C2), así como conexiones con malware utilizado exclusivamente por Nickel Gladstone. Según estos artefactos, es muy probable que Nickel Gladstone sea responsable de los ataques de Axios».
