Ladrones de criptomonedas norcoreanos podrían estar detrás del robo

Drift, la plataforma de intercambio descentralizada (DEX) de criptomonedas, con sede en Solana, ha confirmado que unos atacantes sustrajeron de la plataforma aproximadamente 285 millones de dólares durante un incidente de seguridad que tuvo lugar el 1 de abril de 2026.

"Hoy mismo, un atacante malintencionado obtuvo acceso no autorizado a Drift Protocol mediante un novedoso ataque que involucra nonces persistentes, lo que resultó en una rápida toma de control de los poderes administrativos del Consejo de Seguridad de Drift", dijo la compañía en una serie de publicaciones en X.

"Se trató de una operación altamente sofisticada que, al parecer, implicó varias semanas de preparación y una ejecución por etapas, incluyendo el uso de cuentas nonce duraderas para firmar previamente transacciones que retrasaron su ejecución".

Drift señaló que el ataque no explotó ninguna vulnerabilidad en sus programas o contratos inteligentes, y que no hay evidencia de frases semilla comprometidas. Más bien, se dice que la brecha "involucró aprobaciones de transacciones no autorizadas o tergiversadas obtenidas antes de la ejecución, probablemente facilitadas a través de mecanismos de nonce duraderos e sofisticada ingeniería social", explicó.

Con ese fin, los ciberdelincuentes obtuvieron suficientes aprobaciones de multifirma (multisig) y ejecutaron una transferencia administrativa maliciosa en cuestión de minutos para obtener el control de los permisos a nivel de protocolo, aprovechándolos finalmente para "introducir un activo malicioso y eliminar todos los límites de retiro preestablecidos, atacando los fondos existentes".

Según una cronología de los hechos compartida por Drift, los preparativos para el ataque informático comenzaron ya el 23 de marzo de 2026. La compañía afirmó que está coordinando con varias empresas de seguridad para determinar la causa del incidente y añadió que está trabajando con plataformas de pago, exchanges y las fuerzas del orden para rastrear y congelar los activos robados.

En informes separados publicados el jueves, tanto Elliptic como TRM Labs afirmaron que existen indicios en la cadena de bloques de que ladrones de criptomonedas norcoreanos podrían estar detrás del robo de criptomonedas.

Esto incluyó el uso de Tornado Cash para la preparación inicial, así como los patrones de puenteo entre cadenas y la velocidad y escala del lavado posterior al ataque que son consistentes con los ataques previamente atribuidos a actores de amenazas norcoreanos, incluido el ataque masivo a Bybit de 2025.

"La vulnerabilidad crítica no era un fallo en el contrato inteligente, sino una combinación de ingeniería social para que los firmantes multifirma otorgaran autorizaciones ocultas antes de la firma y una migración del Consejo de Seguridad sin bloqueo temporal que eliminó la última línea de defensa del protocolo", dijo TRM Labs.

"El atacante creó un activo totalmente ficticio —el token CarbonVote— con unos pocos miles de dólares en liquidez inicial y operaciones ficticias, y los oráculos de Drift lo trataron como una garantía legítima por valor de cientos de millones de dólares".

La empresa de inteligencia blockchain también señaló que el token CarbonVote se implementó a las 09:30 hora de Pyongyang.

Elliptic, en su propio análisis del incidente de seguridad, afirmó que el comportamiento en la cadena de bloques, las metodologías de lavado de dinero y los indicadores a nivel de red coinciden con las técnicas comerciales conocidas asociadas con los actores de amenazas de la República Popular Democrática de Corea (RPDC).

La compañía también señaló que, de confirmarse, este incidente "representaría el decimoctavo acto de la RPDC" que ha registrado desde principios de año, con más de 300 millones de dólares robados hasta la fecha.

"Se trata de una continuación de la campaña sostenida de Corea del Norte de robo a gran escala de criptoactivos, que el gobierno estadounidense ha vinculado a la financiación de sus programas de armamento", declaró Elliptic. "Se cree que agentes vinculados a Corea del Norte han robado más de 6.500 millones de dólares en criptoactivos en los últimos años".