hack de 285 millones en Drift: la operación de Corea del Norte en 6 meses

El protocolo Drift, que permite operar futuros perpetuos en Solana, perdió 285 millones de dólares en un hack el 1 de abril. La noticia llegó después de que el equipo de Drift anunciara que la brecha se originó en una operación de inteligencia de seis meses vinculada a Corea del Norte.

Los atacantes empezaron a mediados de marzo de 2026. Primero movieron fondos a través de Tornado Cash, un servicio de mezcla, para ocultar su rastro y prepararon cuentas especiales que les permitían ejecutar transacciones con antelación.

El 27 de marzo, el equipo de seguridad de Drift cambió su sistema de aprobación a un esquema de dos de cinco llaves, eliminando cualquier periodo de espera que pudiera haber alertado al protocolo.

Con esa vulnerabilidad, los hackers crearon 750 millones de tokens falsos llamados CarbonVote Token (CVT). Manipularon la actividad de trading para que las herramientas de Drift consideraran estos tokens como colateral de alto valor.

El 1 de abril dispararon las transacciones pre‑preparadas: añadieron el token falso, aumentaron los límites de préstamo, introdujeron cientos de millones de CVT y retiraron activos reales en 31 extracciones rápidas, todo en 12 minutos.

Tras el robo, cambiaron los fondos por USDC en un intercambio de Solana y los trasladaron a la red de Ethereum para cubrir sus huellas.

Dos firmas de rastreo de blockchain, TRM Labs y Elliptic, reconstruyeron la secuencia completa y detectaron la conexión con Corea del Norte en pocos días.

El ataque también recuerda un hack similar en el protocolo Resolv, donde un atacante mintió 80 millones de USR con solo unos cientos de miles de dólares en colateral y obtuvo 25 millones de dólares.

Los investigadores apuntan a tres posibles vectores de compromiso de la llave privada: clonación de repositorio con vulnerabilidad de VSCode, descarga de una app TestFlight disfrazada y otro vector bajo investigación.

El equipo de seguridad de Drift y la comunidad discuten la responsabilidad del protocolo por permitir descargas de apps no verificadas y la falta de segregación de entornos.

La operación demuestra que Corea del Norte utiliza el robo de criptomonedas como fuente de financiación, con récords de 2.02 billion de dólares en 2025.

¿cómo se planificó el robo en 6 meses?

Los hackers usaron Tornado Cash para mezclar fondos y preparar cuentas que les permitían lanzar transacciones sin alertar al protocolo. El cambio de aprobación de Drift a dos de cinco llaves fue el punto crítico.

¿qué son los CarbonVote Tokens y por qué son peligrosos?

Se crearon 750 millones de CVT falsos. Los sistemas de Drift los tomaron como colateral valioso, lo que permitió 31 retiros rápidos y la fuga de 285 millones de dólares en solo 12 minutos.

¿qué le dice la comunidad sobre la culpa del equipo de Drift?

Algunos críticos señalan que el protocolo permitió la descarga de apps sin verificar y que la falta de segregación de llaves facilitó el ataque. Otros creen que la operación es un caso de negligencia civil.