La investigación revela una operación de ingeniería social orquestada por actores vinculados al estado de Corea del Norte
El hackeo a Drift ha sacudido a la comunidad cripto el pasado primero de abril del 2026. Dejando una pérdida que asciende a los 200 millones de dólares.
La empresa ha dado a conocer los últimos detalles de la investigación que se está llevando a cabo sobre el caso, a modo de prevención para otros equipos del entorno. Se ha revelado que no ha consistido en un hackeo como tal, sino que fue un arduo trabajo de ingeniería social que llevó al menos seis meses. Dando como resultado una de las manipulaciones más grandes documentadas en los últimos tiempos.
El inicio de la pesadilla
En el año 2025 el equipo de Drift fue abordado por un grupo de personas en una conferencia cripto. Algo perfectamente normal y esperable, como todo evento donde se realiza un networking activo. Dichas personas se presentaron como una firma de trading cuantitativo, con intereses en una futura integración con el protocolo.
Esta dinámica se repitió a lo largo del tiempo durante, al menos, seis meses: este grupo de personas se acercaba a diferentes miembros de Drift Protocol. Esto permitió a las partes forjar una conexión y un entorno de confianza. Lo llamativo es cómo todo parecía de carácter legítimo. Ya que los conformantes del supuesto grupo de trading, contaban con un historial verificable e identidades sólidas, sumado a que lo sabían todo sobre Drift.
El siguiente paso: la integración maliciosa y ejecución
Según los datos revelados en el comunicado del protocolo, entre diciembre del 2025 y enero del 2026 el grupo de traders logró crear un Ecosystem Vault dentro de Drift. De manera legítima, con la documentación correspondiente, un depósito que superó el millón de dólares y sesiones de trabajo con el equipo.
Durante febrero y marzo, la dinámica de encontrarse en eventos seguía vigente. Sumando a la situación el intercambio de links, herramientas y aplicaciones, lo esperado en un contexto de trabajo conjunto.
En ese tiempo, se clonó un repositorio de código compartido por el grupo de traders. Con la excusa de deployar un frontend. A su vez, otro miembro descargó una app de TestFlight presentada como su producto de wallet. Lo que supone la empresa damnificada es que hubo un aprovechamiento de una vulnerabilidad, permitiendo la ejecución del malware de forma indetectable.
Luego de que los ciberdelincuentes lograran su cometido, borraron todo rastro de su accionar: chats en Telegram y el malware utilizado para el hackeo.
¿Identificaron a los responsables?
Según el informe de Drift Protocol, se cree que los responsables del acto delictivo es el grupo UNC4736, también conocido como AppleJeus o Citrine Sleet. Entidades ligadas al estado de Corea del Norte.
Aunque, cabe destacar, que aquellas personas que aparecieron para relacionarse cara a cara con el protocolo, eran intermediarios externos del grupo mencionado anteriormente.
Conclusión
El ataque a Drift deja al descubierto el factor más vulnerable del ecosistema: el factor humano.
Es difícil no dejarse llevar por la confianza ganada o generada por lo que rodean los contextos cripto. Sin embargo, esto también es un llamado de atención para evaluar qué brechas de seguridad no se están evaluando.