Drift Protocol reveló detalles sobre su exploit del 1 de abril de 2026, describiendo un ataque coordinado construido durante seis meses. El exchange descentralizado dijo que la brecha siguió a reuniones en persona, compromiso técnico y distribución de software malicioso. El incidente, que ocurrió el 1 de abril, involucró contribuidores comprometidos y resultó en pérdidas estimadas cercanas a los $280 millones.
Drift Protocol rastrea ingeniería social a largo plazo
En un artículo de X, Drift Protocol dijo que el ataque comenzó alrededor de octubre de 2025 en una importante conferencia cripto. Según Drift Protocol, individuos que se hacían pasar por una firma de trading cuantitativo se acercaron a los contribuidores buscando integración.
Sin embargo, la interacción no se detuvo ahí. El grupo continuó involucrando a los contribuidores en múltiples conferencias de la industria global durante seis meses. Presentaron antecedentes profesionales verificados y demostraron fluidez técnica durante repetidas reuniones en persona.
Además, formaron un grupo de Telegram después del contacto inicial. Con el tiempo, discutieron estrategias de trading e integraciones potenciales de vault con los contribuidores. Estas discusiones siguieron patrones estándar de incorporación para empresas de trading que interactúan con Drift Protocol.
Desde diciembre de 2025 hasta enero de 2026, el grupo incorporó un vault del ecosistema. Enviaron detalles de estrategia y depositaron más de $1 millón en el protocolo. Mientras tanto, realizaron sesiones de trabajo y hicieron preguntas detalladas sobre productos.
Compromiso vinculado a herramientas compartidas y acceso a dispositivos
A medida que las conversaciones de integración avanzaron hacia febrero y marzo de 2026, la confianza se profundizó. Los contribuidores se reunieron con el grupo nuevamente en eventos de la industria, fortaleciendo las relaciones existentes. Sin embargo, Drift Protocol posteriormente identificó estas interacciones como el probable vector de intrusión.
Según Drift Protocol, los atacantes compartieron repositorios y aplicaciones maliciosas durante la colaboración. Esto es un contraste completo con la denuncia de ZachXBT sobre Circle por el retraso del exploit de $280M. Un contribuidor supuestamente clonó un repositorio de código presentado como una herramienta de implementación de frontend.
Fuente: Arkham
Otro contribuidor descargó una aplicación TestFlight descrita como un producto de billetera. Estas acciones potencialmente expusieron dispositivos a compromiso. Para el vector del repositorio, Drift Protocol señaló una vulnerabilidad conocida en VSCode y Cursor.
Durante diciembre de 2025 hasta febrero de 2026, abrir archivos podría llevar a la ejecución silenciosa de código sin advertencias. Después del exploit, Drift Protocol realizó revisiones forenses en dispositivos y cuentas afectadas. Notablemente, los canales de comunicación del atacante y el malware fueron borrados inmediatamente después de la ejecución.
Atribución y esfuerzos de investigación en curso
Drift Protocol dijo que congeló todas las funciones del protocolo después de detectar el exploit. También eliminó billeteras comprometidas de su estructura multifirma y marcó las billeteras del atacante en exchanges y puentes entre cadenas. La firma contrató a Mandiant para apoyar la investigación. Mientras tanto, SEALs 911 contribuyó con análisis que apuntaban a un grupo de amenazas conocido.
Con confianza media-alta, el exchange descentralizado vinculó el ataque a actores detrás del hack de Radiant Capital de octubre de 2024. Esa operación fue previamente atribuida a UNC4736, también conocido como AppleJeus o Citrine Sleet.
Drift Protocol aclaró que los individuos involucrados en las reuniones cara a cara no eran nacionales norcoreanos. En cambio, señaló que tales operaciones a menudo utilizan intermediarios de terceros para el compromiso en persona.
Según ZachXBT, la actividad refleja operaciones cibernéticas conocidas vinculadas a la RPDC a menudo agrupadas bajo el paraguas de Lazarus. Explicó que Lazarus se refiere a un grupo de unidades de hackeo, mientras que RPDC indica afiliación estatal detrás de esas operaciones. Señaló que tales grupos usan identidades en capas, intermediarios y construcción de acceso a largo plazo antes de ejecutar ataques.
Fuente: ZachXBT
ZachXBT agregó que los flujos de fondos en cadena vinculados al exploit muestran superposiciones con billeteras vinculadas a incidentes previos asociados con la RPDC, incluyendo Radiant Capital. También destacó similitudes operacionales, incluyendo interacciones escenificadas, entrega de malware a través de canales confiables y limpieza rápida después de la ejecución.
Drift Protocol enfatizó que todos los firmantes multifirma usaron billeteras frías durante el incidente. Continúa trabajando con las fuerzas del orden y socios forenses para completar la investigación.
Fuente: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
