Cuando los hackers se convierten en compañeros de trabajo: Dentro de la operación norcoreana de seis meses que drenó $285M de Drift Protocol

El robo de 285 millones de dólares tomó 12 minutos. La preparación tomó seis meses.

Cuando los atacantes drenaron Drift Protocol — el DEX de futuros perpetuos más grande en Solana — a las 16:05 UTC del 1 de abril de 2026, no explotaron un error en el smart contract, ni manipularon un oráculo, ni rompieron ninguna criptografía. Simplemente enviaron dos transacciones que el propio Consejo de Seguridad del protocolo ya había firmado. Cuatro meses antes, en diciembre de 2025, esos mismos atacantes habían entrado por la puerta principal de Drift como una "firma de trading cuantitativo", depositaron más de 1 millón de dólares de su propio capital, asistieron a sesiones de trabajo con los colaboradores y estrecharon la mano del equipo en conferencias de la industria en varios continentes. No eran extraños, URLs maliciosas ni direcciones de billeteras anónimas. Eran colegas.

Esta es la nueva cara del adversario más peligroso de las criptomonedas, y debería resetear cada suposición que las DeFi han hecho sobre cómo defenderse. Los operativos norcoreanos detrás del exploit de Drift — muy probablemente TraderTraitor / UNC4736, la misma rama de Lazarus Group vinculada al robo de 1.500 millones de dólares de Bybit — no necesitaron derrotar las auditorías, la gobernanza o el multisig de Drift. Solo necesitaron ser lo suficientemente pacientes como para ganarse la confianza.

El robo de 12 minutos que tardó seis meses en construirse

La evidencia on-chain se lee como un thriller. Según el post-mortem del incidente de Drift y la reconstrucción forense de BlockSec, los atacantes establecieron su fachada a finales de 2025 mediante la incorporación de un "Ecosystem Vault" en Drift, enviando documentación de estrategias de trading y uniéndose a múltiples sesiones de trabajo con los colaboradores del protocolo. Para febrero y marzo de 2026, los miembros del equipo de Drift se reunían con sus contrapartes cara a cara en las principales conferencias de la industria. Para el momento del ataque, la relación tenía casi seis meses — superando con creces el umbral en el que la mayoría de los equipos de seguridad dejan de escudriñar a una contraparte como a un extraño.

La ejecución técnica explotó una primitiva específica de Solana: nonces duraderos (durable nonces). A diferencia de Ethereum, donde cada transacción debe hacer referencia a un blockhash reciente y expira en aproximadamente 150 slots, los nonces duraderos de Solana permiten a los usuarios firmar transacciones hoy que pueden ser transmitidas días o semanas después. La función está diseñada para firmas offline, desembolsos programados y flujos de trabajo de tesorería — funciones de conveniencia que, en manos de adversarios pacientes, se convierten en una bomba de tiempo.

El 23 de marzo de 2026, aparecieron on-chain cuatro cuentas de nonces duraderos — dos vinculadas a miembros del Consejo de Seguridad de Drift, dos controladas por el atacante. Para ese momento, dos de los cinco firmantes del consejo ya habían respaldado transacciones de apariencia inofensiva vinculadas a esos nonces. Con un umbral de 2 de 5, el atacante había recolectado previamente las aprobaciones necesarias para tomar el control administrativo. Una migración del consejo planificada para el 27 de marzo invalidó brevemente esas firmas, pero para el 30 de marzo apareció una nueva cuenta de nonce duradero vinculada a un miembro del nuevo multisig — el atacante simplemente había vuelto a recolectar el umbral bajo la nueva configuración.

Luego llegó el 1 de abril. A las 16:05:18 UTC, la primera transacción prefirmada propuso transferir la clave de administrador. Un segundo después, la segunda transacción prefirmada la aprobó. El Consejo de Seguridad efectivamente había entregado sus propias claves meses antes, sin darse cuenta de las transacciones en las que luego se combinarían.

Nonces duraderos más confianza social es igual a una nueva clase de riesgo de gobernanza

El incidente de Drift se está clasificando como un "compromiso de multisig", pero esa etiqueta subestima lo que realmente se rompió. La gobernanza multisig asume que obtener un umbral de firmas requiere comprometer claves distintas (difícil) o coordinar a distintos humanos para que aprueben la misma acción maliciosa (muy difícil). Los nonces duraderos echan por tierra la segunda suposición: los firmantes pueden ser engañados para que aprueben fragmentos de un ataque transacción por transacción, con semanas de diferencia, sin saber que sus firmas individuales eventualmente se ensamblarán en una única secuencia fatal.

Esto es lo que BlockSec llama una brecha entre transacción e intención: las billeteras y las interfaces de usuario de firma muestran a los firmantes qué bytes están firmando, pero rara vez las implicaciones semánticas completas de lo que esos bytes harán una vez combinados con otras firmas que el atacante controla. La defensa tradicional — "más firmantes, billeteras de hardware, revisión cuidadosa" — no aborda el problema subyacente, porque cada firmante individual se comportó correctamente. El sistema en su conjunto falló de todos modos.

Lo peor es que el atacante no tuvo que comprometer la clave de ningún firmante. Hacer phishing o ingeniería social a un colaborador ocupado para que apruebe una transacción de nonce duradero de apariencia benigna es drásticamente más fácil que robar la semilla de una billetera de hardware. Como un informante de Drift le dijo a DL News después de la brecha, la lección es incómoda para las DeFi: "Tenemos que madurar, o no merecemos ser el futuro de las finanzas".

El giro de Lazarus: De ataques rápidos a la implantación a largo plazo

Para entender por qué el ataque a Drift es importante más allá de Drift, observe la trayectoria de las operaciones cripto de Corea del Norte.

En 2025, actores de la RPDC robaron [$2.02 mil millones en más de 30 incidentes](https://thehackernews.com/2025/12/north-korea-linked-hackers-steal-202.html) — lo que representa el 76$ 6.75 mil millones desde que comenzó el seguimiento. El incidente definitorio de ese año fue el robo de $ 1.5 mil millones a Bybit en febrero de 2025, que sigue siendo el mayor robo individual registrado. El ataque a Bybit utilizó una inyección de JavaScript malicioso entregada a través de una máquina de desarrollador de Safe{Wallet} comprometida — una técnica sofisticada de cadena de suministro, pero aún externa: los atacantes nunca estuvieron en la nómina de Bybit, nunca se sentaron en sus reuniones, nunca entablaron relaciones con su equipo.

Compare eso con 2026. KelpDAO fue drenado por [~ $290 millones el 18 de abril](https://www.upi.com/Top_News/World-News/2026/04/22/KelpDAO-LayerZero-North-Korea-crypto-hack-theft-Lazarus-Group/6151776848419/), con una atribución preliminar que apunta de nuevo a Lazarus. Drift costó$ 285 M y requirió un rescate de $ 150 M liderado por Tether solo para compensar a los depositantes. Ambos ataques implicaron un posicionamiento interno que habría sido impensable para el Lazarus de "ataque y huida" de 2022.

El cambio es estructural. El manual de estrategias cripto tradicional de Lazarus — ejemplificado por el Ronin Bridge ($ 625 M, 2022) y Bybit — se basaba en penetrar las defensas del perímetro: ofertas de trabajo maliciosas en LinkedIn para ingenieros, currículums en PDF armados, compromisos de la cadena de suministro de herramientas de desarrollo. Estos ataques todavía funcionan, pero se están volviendo más costosos. A medida que más protocolos despliegan billeteras de hardware, multisig e higiene en las ceremonias de claves, el costo de irrumpir desde el exterior aumenta. El costo de ser invitado a entrar, por el contrario, disminuye — porque la industria cripto contrata rápido, contrata globalmente y contrata de forma anónima.

El ejército de trabajadores de TI de la RPDC oculto a plena vista

El compromiso de Drift se sitúa en la intersección de dos programas norcoreanos que, hasta hace poco, se habían tratado como amenazas separadas: las unidades de hackeo de élite de Lazarus y el esquema masivo de trabajadores de TI remotos del régimen.

En marzo de 2026, la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de los EE. UU. sancionó a seis personas y dos entidades vinculadas a la RPDC por orquestar empleos de TI fraudulentos que generaron [casi $800 millones solo en 2024](https://www.coindesk.com/business/2026/03/13/u-s-sanctions-6-people-2-companies-that-laundered-usd800-million-in-crypto-for-north-korea) para financiar los programas de armas de destrucción masiva y misiles balísticos del régimen. Entre los sancionados: Nguyen Quang Viet, CEO de Quangvietdnbg International Services, con sede en Vietnam, quien supuestamente convirtió ~$ 2.5 millones en criptomonedas para actores norcoreanos entre 2023 y 2025.

La escala es asombrosa. Una investigación reciente respaldada por la Fundación Ethereum identificó a 100 operativos de la RPDC actualmente integrados en empresas cripto, y el Panel de Expertos de la ONU ha estimado durante mucho tiempo que miles de ciudadanos de la RPDC trabajan de forma remota para empresas de todo el mundo. La investigación de CNN de agosto de 2025 encontró que operativos de la RPDC han penetrado las cadenas de suministro de casi todas las empresas de Fortune 500, a menudo a través de "facilitadores" — típicamente estadounidenses dispuestos a alojar computadoras portátiles en sus hogares por una tarifa, proporcionando direcciones IP de EE. UU. para que los operativos inicien sesión.

Las tácticas también han evolucionado más allá del empleo pasivo. Según el análisis de Chainalysis, los operativos de la RPDC han pasado a suplantar a reclutadores en destacadas empresas de Web3 e IA, construyendo "portales de carrera" multiempresa convincentes y utilizando el acceso resultante para introducir malware, filtrar datos patentados o — como en el caso de Drift — establecer relaciones comerciales de confianza que rinden frutos meses después.

La detección es difícil pero no imposible. SpyCloud y Nisos han documentado patrones recurrentes: fotos de perfil generadas por IA, reticencia a aparecer en video, demandas de pago solo en criptomonedas, afirmaciones de residencia que no coinciden con la geolocalización de la IP, negativas a usar dispositivos proporcionados por la empresa y convenciones de nombres de correo electrónico que se apoyan fuertemente en años de nacimiento, animales, colores y mitología. Ninguna de estas señales es decisiva por sí sola. Juntas, forman un perfil que cualquier gerente de contratación de DeFi debería ser capaz de recitar.

Por qué las auditorías, el multisig y el KYC fallan contra los infiltrados de estados-nación

La implicación más incómoda de Drift es que todo el conjunto de seguridad de DeFi fue diseñado para un modelo de amenaza diferente.

Las auditorías de contratos inteligentes examinan el código, no a los colaboradores. Una auditoría limpia de Trail of Bits, OpenZeppelin o Quantstamp le indica que el bytecode del protocolo hace lo que afirma. No le dice nada sobre quién tiene las llaves de administrador, quién puede llamar a las funciones de actualización o quién está en el canal de Discord donde los miembros del Consejo de Seguridad coordinan las firmas. Los contratos de Drift no fueron explotados. Su gente sí lo fue.

La gobernanza multifirma (multisig) asume firmantes honestos. Un multisig de 2 de 5 o 4 de 7 defiende contra el compromiso de una sola llave o un solo infiltrado malicioso. No defiende contra una campaña coordinada de ingeniería social que engaña a varios firmantes legítimos para que aprueben fragmentos de un ataque a lo largo de semanas mediante transacciones de nonce duradero prefirmadas. Incluso elevar el umbral a 5 de 9 solo hace que el trabajo del atacante sea marginalmente más difícil si tiene tiempo ilimitado y una cobertura empresarial creíble.

El KYC y las verificaciones de antecedentes fallan contra identidades fabricadas. Los operativos de estados-nación utilizan identidades robadas de EE. UU., fotos generadas por IA e historiales de empleo blanqueados que superan las verificaciones estándar. Las sanciones del Tesoro de marzo de 2026 señalaron específicamente el uso de "exchanges conformes, billeteras alojadas, servicios DeFi y puentes cross-chain" por parte de estas redes — la misma infraestructura con calificación KYC que el resto de la industria asume que es segura.

Los colaboradores seudónimos son una característica, no un error — hasta que dejan de serlo. La cultura de DeFi celebra el seudonimato. Muchos de los desarrolladores más respetados en el espacio operan bajo alias, contribuyen a través de commits en GitHub y nombres de usuario en Discord, y nunca conocen a sus colegas en persona. Esa cultura es incompatible con el modelo de amenaza de Drift, donde seis meses de construcción de confianza es precisamente lo que el atacante invirtió.

Cómo se ve la defensa en profundidad para el nuevo modelo de amenaza

Drift no es el final de esta historia; es el modelo a seguir. Cada protocolo con llaves de administrador, multisig de gobernanza o una exposición significativa de la tesorería es ahora vulnerable al mismo manual de estrategia. Varias medidas prácticas de fortalecimiento han surgido de los análisis posteriores al incidente.

Verificación de la intención a nivel de transacción, no confianza a nivel de firmante. Herramientas como la simulación de transacciones de BlockSec, Tenderly Defender y Wallet Guard exponen el efecto económico completo de una transacción — incluidos los efectos potencialmente maliciosos en nonces preexistentes — antes de que los firmantes aprueben. La experiencia de usuario (UX) por defecto de "firmar este hash" debe morir.

Timelocks agresivos para acciones de gobernanza. Un timelock (bloqueo temporal) de 24 a 72 horas en las transferencias de llaves de administrador, actualizaciones de contratos y movimientos de tesorería le da a la comunidad tiempo para detectar propuestas anómalas. El traspaso de administración de Drift ocurrió en dos transacciones con un segundo de diferencia. Un retraso de 48 horas habría sido una ventana de 48 horas para que el Consejo de Seguridad notara que estaba a punto de perder el control.

Módulos de Seguridad de Hardware (HSM) con segregación operativa. Los HSM evitan que una máquina de desarrollador comprometida extraiga las llaves de firma, pero no evitan el abuso de nonces duraderos. Combine los HSM con flujos de trabajo de cómputo multipartito (MPC) obligatorios que prohíban explícitamente la firma bajo nonces duraderos para roles de gobernanza.

Verificación en persona para roles de alta confianza. El manual de la RPDC depende del empleo exclusivamente remoto. Requerir presencia física — en conferencias, oficinas o reuniones presenciales ante notario — para cualquier persona con acceso de administrador, privilegios de auditoría o responsabilidades de tesorería eleva drásticamente el costo operativo. (Los atacantes de Drift sí conocieron a los colaboradores en persona, pero solo después de una larga preparación en línea diseñada para que esas reuniones parecieran llamadas de negocios rutinarias. La verificación en persona funciona solo si condiciona la confianza inicial, no si confirma una relación que ya se ha establecido).

Sistemas de reputación de colaboradores y atestaciones de identidad on-chain. El proof-of-personhood de Worldcoin, Gitcoin Passport y sistemas similares son imperfectos, pero elevan el costo de fabricar una identidad que tenga un historial on-chain de varios años, atestaciones de colaboradores conocidos y actividad verificable en varios protocolos.

Transparencia en contrataciones públicas para roles críticos de seguridad. Una norma en la que los protocolos revelen públicamente quién posee las llaves de administrador, quién forma parte de los Consejos de Seguridad y quién tiene acceso a las auditorías — incluso si esos individuos operan bajo seudónimos — crea visibilidad en toda la comunidad. Un Consejo de Seguridad de cinco personas con un nuevo miembro añadido silenciosamente dos semanas antes de un exploit es exactamente el patrón que las futuras investigaciones deberían buscar.

El ajuste de cuentas operativo que DeFi no puede posponer

El incidente de Drift es un pago de matrícula de 285 millones de dólares por una lección que DeFi ha estado retrasando desde 2022: la seguridad del protocolo no es lo mismo que la seguridad del código. El código puede ser auditado, sometido a pruebas de fuzzing, verificado formalmente y recompensado con programas de bug bounty hasta alcanzar una robustez razonable. Las personas — los desarrolladores, firmantes, colaboradores y socios que poseen las llaves, aprueban las actualizaciones y dan forma a la gobernanza — no pueden ser auditadas de la misma manera.

Corea del Norte se ha dado cuenta. El mismo régimen que envió una carga útil maliciosa de JavaScript a través de Safe{Wallet} a Bybit en 2025 envió un equipo de desarrollo de negocios pulido a Drift en 2026. El próximo ataque no se parecerá a ninguno de los dos. Se parecerá a cualquier patrón de confianza que el próximo objetivo aún no haya aprendido a cuestionar.

Para los protocolos que construyen hoy, la pregunta práctica no es "¿somos vulnerables a un zero-day de Lazarus?". Es "si un adversario sofisticado pasara seis meses convirtiéndose en nuestro amigo, cuánto podría robar". Si la respuesta honesta es "la mayor parte de nuestro TVL", esa es la brecha de seguridad que necesita cerrarse — antes de que se abra la próxima ventana de nonce duradero.

BlockEden.xyz opera infraestructura de RPC e indexadores de grado de producción para Sui, Aptos, Solana, Ethereum y más de 25 cadenas adicionales, con custodia de llaves asegurada por hardware, controles operativos multipartitos y políticas de verificación de colaboradores diseñadas para el entorno de amenazas post-Drift. Explore nuestros servicios de infraestructura para construir sobre una base fortalecida contra los adversarios que DeFi realmente enfrenta en 2026.

Fuentes

• Hackers norcoreanos atacan Drift Protocol en un robo de 285 millones de USD — TRM Labs
• Hackeo de Drift Protocol: Cómo el acceso privilegiado provocó una pérdida de 285 millones de USD — Chainalysis
• Post-mortem del incidente de Drift Protocol — Credshields
• Incidente de Drift Protocol: Compromiso de la gobernanza multisig a través de la explotación de nonces duraderos — BlockSec
• Cómo una función de Solana diseñada para la conveniencia permitió a un atacante drenar 270 millones de USD de Drift — CoinDesk
• Hackeo de 285 millones de USD a Drift rastreado hasta una operación de ingeniería social de la RPDC de seis meses — The Hacker News
• Drift Protocol asegura un rescate de 150 millones de USD liderado por Tether tras un hackeo masivo — Brief Glance
• DeFi necesita madurar si quiere ser el futuro de las finanzas, dice un miembro interno de Drift Protocol hackeado — DL News
• Hackers vinculados a Corea del Norte roban 2,02 mil millones de USD en 2025 — The Hacker News
• Hackers norcoreanos vinculados al robo de criptomonedas de 290 millones de USD en KelpDAO — UPI
• El Tesoro sanciona a banqueros e instituciones de la RPDC involucrados en el lavado de ganancias de delitos cibernéticos — U.S. Department of the Treasury
• La OFAC apunta a trabajadores de TI de la RPDC que utilizan criptomonedas — Chainalysis
• EE. UU. sanciona una red que presuntamente lavó 800 millones de USD en criptomonedas para Corea del Norte — CoinDesk
• Las nuevas sanciones de la OFAC apuntan al ejército cripto de Corea del Norte — Crypto Impact Hub
• Una investigación respaldada por Ethereum descubre a 100 operativos de la RPDC en empresas cripto — LiveBitcoinNews
• Cómo los trabajadores de TI norcoreanos aprovechan la IA y a estadounidenses vulnerables para infiltrarse en empresas de EE. UU. — CNN
• Fraude laboral: Cómo identificar a trabajadores de TI norcoreanos falsos — SpyCloud
• Estafa de trabajadores de TI de la RPDC: Pasos de mitigación para equipos de contratación — Nisos
• El manual del Lazarus Group: Dentro de la operación de robo de criptomonedas de 6,75 mil millones de USD de Corea del Norte — BlockEden.xyz