Drift Protocol: Comienza a elaborar un plan de recuperación, participa en el programa de seguridad STRIDE

Drift Protocol publicó el 8 de abril en la plataforma X las últimas novedades sobre el caso, indicando que actualmente se encuentra en proceso activo de elaborar, junto con sus contrapartes, un plan de reactivación coordinado y acordado por consenso. En esta etapa, el trabajo se centra en estabilizar la situación y proporcionar garantías de nivel contractual a todos los usuarios y socios afectados. Además, Drift Protocol anunció que participará en el programa de seguridad STRIDE, bajo la Fundación Solana, y que posteriormente publicará más detalles.

Estado actual del plan de reactivación: estabilizar la situación como tarea prioritaria

Drift Protocol subraya que la elaboración del plan de reactivación implica una coordinación en múltiples frentes entre las contrapartes, los usuarios afectados y los socios del ecosistema. En este momento, la prioridad es “estabilizar la situación”: garantizar que los usuarios afectados reciban protección a nivel contractual y estudiar planes posteriores de compensación y recuperación.

Participar en el programa STRIDE es una parte importante de la hoja de ruta de refuerzo de seguridad de Drift Protocol. STRIDE está liderado por Asymmetric Research, con financiación de la Fundación Solana, y ofrece evaluaciones de seguridad independientes, monitorización proactiva de amenazas 24/7 (para contratos con TVL superior a 10.000.000 de dólares) y servicios de verificación formal (para contratos con TVL superior a 100.000.000 de dólares).

Análisis del ataque: desglose detallado de las acciones de infiltración durante seis meses

Este ataque no fue una explotación tradicional de vulnerabilidades técnicas, sino una acción compuesta que integra ingeniería social e intrusión técnica. El atacante se hizo pasar por “una empresa de trading cuantitativo interesada en la integración”, contactó proactivamente al personal objetivo en una gran conferencia de la industria el año pasado en otoño y, posteriormente, fue construyendo la confianza gradualmente mediante conversaciones por Telegram después de reuniones presenciales. Antes de ejecutar el ataque, incluso depositaron 1.000.000 de dólares de capital propio en la tesorería de la plataforma para aumentar su credibilidad; tras completar la acción, desaparecieron de inmediato.

Ruta técnica de las tácticas de ataque

Inserción de bibliotecas de código malicioso: mediante rutas de cadena de suministro, incrustar código malicioso en el entorno de desarrollo para lograr ejecución silenciosa

Falsificación de aplicaciones: inducir a los contribuidores a descargar y ejecutar procedimientos maliciosos con herramientas de apariencia legítima

Explotación de vulnerabilidades en herramientas de desarrollo: lograr efectos de ejecución de código silenciosa aprovechando las debilidades del proceso de desarrollo

Infiltración mediante ingeniería social: usar intermediarios de terceros para realizar reuniones presenciales y evitar riesgos directos de identificación de nacionalidad

Drift Protocol indicó que las personas que realizaron el contacto presencial no eran ciudadanos de Corea del Norte. Estos actores con trasfondo estatal normalmente ejecutan tareas de infiltración en el lugar a través de intermediarios de terceros.

Atribución de AppleJeus: rastro de ataques digitales de una organización de inteligencia norcoreana

Drift Protocol atribuyó este ataque con una confianza de nivel medio-alto a la organización de amenazas AppleJeus (también conocida como Citrine Sleet). La empresa de ciberseguridad Mandiant ya había relacionado previamente a esta organización con el ciberataque de 2024 contra Radiant Capital. Los responsables de la respuesta al incidente afirmaron que tanto el análisis on-chain como los patrones de solapamiento de identidades apuntan a la participación de personal relacionado con Corea del Norte, pero Mandiant todavía no ha confirmado oficialmente esta atribución.

Un responsable de estrategia de una empresa de seguridad blockchain señaló que los oponentes a los que se enfrenta el equipo de criptomonedas se parecen más a “organizaciones de inteligencia” que a hackers tradicionales. Y el problema central de seguridad que pone de relieve este incidente no es la cantidad de firmantes de transacciones, sino la “falta de comprensión fundamental sobre la intención de la transacción”, lo cual lleva a que los firmantes sean engañados para aprobar operaciones maliciosas.

Advertencia del sector: es posible que el ecosistema DeFi ya esté ampliamente infiltrado

Un investigador de seguridad que participó en esta investigación indicó que es posible que el ecosistema DeFi ya haya sido ampliamente infiltrado por actores de este tipo, y estimó que las organizaciones relacionadas han estado participando durante mucho tiempo en influir en múltiples contratos. Esta afirmación sugiere que el ataque de Drift Protocol podría no ser un hecho aislado, sino parte de una estrategia mayor de infiltración continua y a gran escala. Toda la arquitectura de defensa de seguridad del ecosistema de finanzas descentralizadas se enfrenta a una presión de reflexión fundamental.

Preguntas frecuentes

¿Cómo va el plan de reactivación del caso de robo de 285 millones de dólares de Drift Protocol?

Drift Protocol señaló que actualmente está trabajando de forma activa con sus contrapartes para elaborar un plan de reactivación coordinado y acordado por consenso. En esta etapa, el foco es estabilizar la situación y proporcionar garantías de nivel contractual a todos los usuarios y socios afectados. Asimismo, anunció que participará en el plan de seguridad STRIDE, bajo la Fundación Solana, y que posteriormente se publicarán más detalles.

¿Cómo fue atacado Drift Protocol?

El atacante se hizo pasar por una empresa de trading cuantitativo. Durante seis meses, construyó la confianza mediante reuniones presenciales y una infiltración por ingeniería social, y depositó previamente 1.000.000 de dólares de capital real para aumentar la credibilidad. Finalmente, llevó a cabo la ejecución silenciosa de código mediante bibliotecas de código malicioso, aplicaciones falsificadas y la explotación de vulnerabilidades en herramientas de desarrollo, robando aproximadamente 285 millones de dólares.

¿Se ha confirmado ya la relación de este ataque con una organización de inteligencia norcoreana?

Drift Protocol atribuyó el ataque con una confianza de nivel medio-alto a la organización de amenazas AppleJeus. El análisis on-chain y los patrones de solapamiento de identidades apuntan a la participación de personal relacionado con Corea del Norte. Sin embargo, Mandiant, la empresa de ciberseguridad, todavía no ha confirmado oficialmente esta atribución.