Por Vismaya V
4 min lectura
El exchange descentralizado basado en Solana, Drift Protocol, afirmó el domingo que el ataque que drenó aproximadamente $285 millones de la plataforma fue una operación de inteligencia estructurada de seis meses llevada a cabo por un grupo de amenaza afiliado al Estado norcoreano.
Los atacantes utilizaron identidades profesionales fabricadas, reuniones presenciales en conferencias y herramientas maliciosas para desarrolladores con el fin de comprometer a los contribuyentes antes de ejecutar el drenaje, señaló el protocolo en una actualización detallada del incidente.
"Los equipos cripto se enfrentan ahora a adversarios que operan más como unidades de inteligencia que como hackers, y la mayoría de las organizaciones no están estructuralmente preparadas para ese nivel de amenaza", afirmó Michael Pearl, vicepresidente de Estrategia de la firma de seguridad blockchain Cyvers, a Decrypt.
Drift señaló que el grupo se acercó por primera vez a los contribuyentes en una importante conferencia cripto el pasado otoño, presentándose como una firma de trading cuantitativo que buscaba integrarse con el protocolo.
Durante meses, el grupo fue ganando confianza a través de reuniones presenciales, coordinación por Telegram, incorporó un Ecosystem Vault en Drift e hizo un depósito propio de $1 millón en el vault, para luego desaparecer, con chats y malware "completamente eliminados" cuando ocurrió el exploit.
El DEX indicó que la intrusión pudo haber involucrado un repositorio de código malicioso, una aplicación falsa de TestFlight y una vulnerabilidad en VSCode/Cursor que permitía la ejecución silenciosa de código sin interacción del usuario.
Drift atribuyó el ataque con "confianza media-alta" a UNC4736, también rastreado como AppleJeus o Citrine Sleet —el mismo grupo afiliado al Estado norcoreano que la firma de ciberseguridad Mandiant vinculó al hackeo de Radiant Capital de 2024.
Drift aclaró que las personas que se reunieron presencialmente con los contribuyentes no eran ciudadanos norcoreanos, señalando que los actores vinculados a Corea del Norte suelen recurrir a intermediarios de terceros para el "contacto cara a cara".
Según los respondedores del incidente SEAL 911, los flujos de fondos on-chain y las personas superpuestas apuntan a actores vinculados a Corea del Norte, aunque Mandiant aún no ha confirmado la atribución mientras se realizan los análisis forenses, según indicó la plataforma.
La investigadora de seguridad @tayvano_, una de las expertas a quien Drift reconoció por su ayuda en la identificación de los actores maliciosos, sugirió que la exposición se extiende mucho más allá de este incidente.
En un tweet, la experta enumeró docenas de protocolos DeFi, alegando que "trabajadores de TI de Corea del Norte construyeron los protocolos que conocen y aman, desde los tiempos del verano DeFi".
"Drift y Bybit evidencian el mismo patrón: los firmantes no fueron comprometidos directamente a nivel de protocolo, sino que fueron engañados para aprobar transacciones maliciosas", agregó Pearl. "El problema central no es el número de firmantes, sino la falta de comprensión del propósito de la transacción".
Señaló que las billeteras multifirma, si bien representan una mejora frente al control de clave única, generan ahora una falsa sensación de seguridad, introduciendo "una paradoja" donde la responsabilidad compartida reduce el escrutinio entre los firmantes.
"La seguridad debe trasladarse a la validación previa a la transacción a nivel de blockchain, donde las transacciones se simulan y verifican de forma independiente antes de su ejecución", afirmó Pearl, añadiendo que, una vez que los atacantes controlan lo que los usuarios ven, la única defensa efectiva es validar lo que una transacción realmente hace, independientemente de la interfaz.
Sobre las herramientas para desarrolladores como superficie de ataque, Lavid señaló que la premisa debe cambiar desde la base.
"Tienes que asumir que el endpoint está comprometido", dijo a Decrypt, apuntando a los IDEs, repositorios de código, aplicaciones móviles y entornos de firma como puntos de entrada cada vez más comunes.
"Si estas herramientas fundamentales son vulnerables, todo lo que se muestra al usuario —incluidas las transacciones— puede ser manipulado", sostuvo el experto, señalando que esto "rompe fundamentalmente los supuestos de seguridad tradicionales", dejando a los equipos incapaces de confiar en "la interfaz, el dispositivo o incluso el flujo de firma".
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.