Acabo de leer el reporte detallado que publicó Drift sobre el exploit de 270 millones de dólares y francamente es inquietante. No estamos hablando de un ataque convencional, sino de una operación de inteligencia estatal que duró prácticamente seis meses.

La forma en que se desarrolló todo es lo que más me llama la atención. Según el análisis de Drift, un grupo afiliado al Estado norcoreano se presentó en una conferencia importante de criptomonedas alrededor del otoño de 2025 como una firma de trading cuantitativo. Esto no fue improvisado. Tenían credenciales profesionales verificables, conocimiento técnico legítimo sobre cómo funcionaba el protocolo, y sabían exactamente cómo integrarse en ecosistemas DeFi.

Durante los meses siguientes, entre diciembre de 2025 y enero, el grupo incorporó una Bóveda del Ecosistema en Drift, realizó sesiones de trabajo con los colaboradores, depositó más de un millón de dólares de su propio capital y se posicionaron como actores legítimos. Incluso se reunieron en persona con el equipo de Drift en múltiples conferencias internacionales en febrero y marzo. Para cuando ejecutaron el ataque el 1 de abril, llevaban casi medio año construyendo esta presencia.

La infiltración técnica fue sofisticada. Comprometieron dispositivos a través de dos vectores principales. Primero, distribuyeron una aplicación falsa de TestFlight, la plataforma de Apple que evita la revisión de seguridad de la App Store. Segundo, aprovecharon una vulnerabilidad conocida en VSCode y Cursor que la comunidad de seguridad había estado denunciando desde finales de 2025. Simplemente abrir un archivo en estos editores permitía ejecutar código arbitrario sin avisos.

Una vez dentro, obtuvieron lo necesario para conseguir las dos aprobaciones multisig. Las transacciones pre-firmadas permanecieron dormidas durante más de una semana antes de ejecutarse el 1 de abril, drenando 270 millones de dólares de los depósitos del protocolo en menos de un minuto.

Los investigadores atribuyeron el ataque a UNC4736, conocido también como AppleJeus o Citrine Sleet, basándose en los flujos de fondos en cadena y la superposición operativa con actores vinculados a Corea del Norte. Aunque los individuos que se presentaron en conferencias no eran ciudadanos norcoreanos, es práctica estándar que los actores de amenaza de ese nivel utilicen intermediarios con identidades completamente construidas y antecedentes laborales diseñados para pasar auditorías de diligencia debida.

Lo que Drift está señalando es incómodo para toda la industria. Si los atacantes están dispuestos a invertir seis meses, un millón de dólares y paciencia para construir una presencia legítima dentro de un ecosistema, ¿qué modelo de seguridad está realmente diseñado para detectar eso? Los protocolos dependen de multisig como su principal defensa, pero esta operación expone debilidades profundas en ese modelo cuando te enfrentas a adversarios estatales con recursos ilimitados.

Drift está instando a otros protocolos a auditar controles de acceso y tratar cada dispositivo que interactúe con una multisig como un objetivo potencial. Es un recordatorio de que en DeFi, la confianza sigue siendo el vector de ataque más efectivo, incluso cuando intentas eliminarla del ecuación.