Por Canuto Drift Protocol asegura que el ataque que drenó USD $280 millones no fue un improvisado, sino una operación de inteligencia cuidadosamente preparada por meses. Las conclusiones preliminares apuntan a una campaña de ingeniería social que combinó encuentros cara a cara, malware y vínculos con actores asociados al hack de Radiant Capital.
***
- Drift Protocol afirma que la explotación fue el resultado de seis meses de preparación deliberada.
- El protocolo ve una confianza media-alta de que los responsables están ligados al hack de Radiant Capital de 2024.
- Anatoly Yakovenko, cofundador de Solana, calificó el incidente como “aterrador” por su nivel de sofisticación.
Drift Protocol, un exchange descentralizado dentro del ecosistema Solana, aseguró que la reciente explotación sufrida por su plataforma fue el resultado de una operación altamente coordinada que habría tomado cerca de seis meses. Las pérdidas estimadas por fuentes externas rondan los USD $280 millones, aunque otras referencias citadas en torno al caso ubican el monto drenado en unos USD $270 millones.
De acuerdo con el recuento preliminar divulgado por el propio protocolo, los atacantes no se limitaron a explotar una falla técnica. La operación habría combinado inteligencia previa, construcción de confianza con colaboradores y la distribución de herramientas maliciosas para comprometer dispositivos de personas vinculadas al proyecto.
El caso ha elevado la preocupación en la industria cripto porque sugiere una evolución en las tácticas de ataque. Ya no se trata solo de vulnerabilidades de contratos inteligentes o campañas de phishing masivas, sino de operaciones prolongadas de ingeniería social, con presencia física en eventos del sector y con recursos que apuntan a una organización sofisticada.
Una operación que habría comenzado en eventos presenciales
Según explicó Drift Protocol, el origen del plan puede rastrearse hasta alrededor de octubre de 2025. En ese momento, actores maliciosos que se hacían pasar por una firma de trading cuantitativo se acercaron por primera vez a colaboradores del protocolo durante una gran conferencia cripto, con el argumento de que estaban interesados en integrarse con la plataforma.
La aproximación no terminó allí. El grupo siguió interactuando en persona con colaboradores de Drift a lo largo de varios eventos de la industria durante los seis meses siguientes. El protocolo indicó que ahora entiende este patrón como un enfoque dirigido, en el que ciertas personas buscaron deliberadamente a colaboradores específicos para construir una relación de confianza.
Drift señaló que los individuos involucrados mostraban soltura técnica, perfiles profesionales verificables y un conocimiento claro de cómo operaba el protocolo. Ese detalle habría sido clave para que sus contactos resultaran creíbles, sobre todo en un entorno como el cripto, donde es común que equipos de desarrollo, traders y empresas exploren alianzas en congresos y reuniones privadas.
La reconstrucción de los hechos también indica que la falsa firma logró incorporar un Ecosystem Vault en Drift entre diciembre de 2025 y enero de 2026. Además, habría depositado más de USD $1 millón de su propio capital, un movimiento que reforzó la imagen de legitimidad frente a los colaboradores del protocolo.
Durante febrero y marzo de 2026, los atacantes mantuvieron sesiones de trabajo y encuentros cara a cara con miembros vinculados al proyecto. Para abril, según el relato de Drift, la relación comercial ya parecía suficientemente consolidada como para que compartir enlaces, repositorios y aplicaciones no despertara sospechas inmediatas.
Cómo se ejecutó el compromiso de los dispositivos
Una vez ganada la confianza del equipo, el grupo compartió enlaces y herramientas supuestamente asociadas a proyectos que afirmaban estar construyendo. Drift sostiene que ese fue el punto de entrada para comprometer los dispositivos de colaboradores y preparar la explotación.
Uno de los colaboradores habría clonado un repositorio de código compartido por los atacantes. Según el reporte citado sobre el incidente, ese repositorio probablemente contenía una vulnerabilidad conocida que afectaba a los editores de texto VSCode y Cursor, dos herramientas ampliamente utilizadas por desarrolladores.
Un segundo colaborador, según la misma reconstrucción, fue convencido de descargar una aplicación falsa de TestFlight. Con esas acciones, los atacantes habrían conseguido acceso suficiente para facilitar la intrusión posterior y ejecutar el drenaje de fondos.
Tras consumar la explotación, el grupo eliminó rastros de su actividad. Drift indicó que los responsables borraron su presencia inmediatamente después del ataque, mientras que otro recuento del caso añadió que también se eliminaron chats de Telegram y se removió el software malicioso tras el éxito de la operación.
La plataforma suspendió depósitos y retiros después del incidente. Además, advirtió a los usuarios que lo ocurrido no era una broma del Día de los Inocentes, una aclaratoria necesaria porque el ataque se produjo el 1 de abril y la magnitud del golpe generó confusión inicial en parte de la comunidad.
Vínculos con Radiant Capital y posible conexión con Corea del Norte
Drift aseguró que tiene una confianza media-alta en que los responsables de esta explotación son los mismos actores detrás del hack de Radiant Capital de octubre de 2024. Aquel caso terminó con pérdidas por USD $58.000.000 y ya había encendido las alarmas sobre el uso de ingeniería social y malware para penetrar proyectos DeFi.
En diciembre de 2024, Radiant Capital explicó que su explotación se produjo mediante malware enviado a través de Telegram por un atacante alineado con Corea del Norte que se hacía pasar por un excontratista. La plataforma detalló entonces que un archivo ZIP compartido para recibir comentarios entre desarrolladores terminó entregando el malware que facilitó la intrusión posterior.
Drift remarcó, sin embargo, que las personas que se presentaron físicamente ante sus colaboradores no eran ciudadanos norcoreanos. Aun así, el protocolo añadió que los actores de amenazas de la República Popular Democrática de Corea que operan a este nivel suelen desplegar intermediarios de terceros para ejecutar la construcción de relaciones cara a cara.
Ese matiz es importante porque sugiere un modelo operativo más complejo que el de un simple engaño digital. Si la hipótesis es correcta, el ataque habría combinado operadores presenciales, herramientas de compromiso técnico y una cadena de mando más amplia, algo que encaja con los patrones atribuidos en años recientes a grupos patrocinados o alineados con Estados.
Drift indicó que trabaja con fuerzas del orden y con otros actores de la industria para construir un panorama completo de lo ocurrido durante el ataque del 1 de abril. La investigación sigue en curso y por ahora la plataforma ha presentado sus hallazgos como preliminares.
La reacción en Solana y la señal de alerta para la industria
El cofundador de Solana, Anatoly Yakovenko, describió el hack como “aterrador”. Su reacción refleja el impacto que tuvo el incidente dentro del ecosistema, ya que distintas referencias lo ubican como el mayor hack de Solana hasta la fecha dentro del ámbito DeFi.
Más allá del monto sustraído, lo que más inquieta al mercado es el método. El episodio sugiere que las conferencias cripto, usualmente vistas como espacios para alianzas, recaudación y networking técnico, también pueden funcionar como superficies de ataque para grupos sofisticados que buscan infiltrarse en proyectos a lo largo de meses.
Para usuarios nuevos en el sector, conviene recordar que un exchange descentralizado o DEX permite operar criptoactivos sin intermediarios tradicionales, mediante contratos inteligentes y mecanismos onchain. Eso no elimina el riesgo humano alrededor de su operación. Equipos de desarrollo, integradores y colaboradores siguen dependiendo de dispositivos, canales de comunicación y relaciones de confianza que pueden ser vulnerados.
El caso de Drift también refuerza una lección repetida en seguridad: las amenazas más costosas no siempre entran por una línea de código expuesta. A veces llegan por una conversación convincente, una reunión en un evento internacional o un archivo aparentemente legítimo compartido entre colegas.
Por ahora, el ataque se perfila como un punto de inflexión en la conversación sobre seguridad para protocolos DeFi. Si los hallazgos preliminares se confirman, la industria tendrá que revisar no solo auditorías y controles técnicos, sino también protocolos internos para reuniones, validación de contrapartes, uso de herramientas de desarrollo y manejo de enlaces o aplicaciones recibidas fuera de canales verificados.
En ese sentido, la advertencia de Drift va más allá de su propio caso. El protocolo pidió cautela y escepticismo incluso durante interacciones presenciales, un mensaje incómodo para un ecosistema que históricamente ha dependido mucho de la confianza informal y del contacto directo para tejer relaciones de negocio.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Privacidad
LinkedIn escanea más de 6.000 extensiones de Chrome y desata polémica por privacidad
Blockchain
Nueva técnica para redes QKD promete auditar rutas sin revelar la topología
Bitcoin
Nuevo algoritmo cuántico reduciría qubits para romper criptografía de curvas elípticas
Europa