Acabo de leer el informe de incidentes de Drift sobre ese exploit de $270 millones de abril, y honestamente, el nivel de sofisticación aquí es bastante salvaje. Esto no fue un hackeo aleatorio; estamos hablando de una operación de inteligencia de seis meses por parte de un grupo vinculado a un estado norcoreano que básicamente se infiltró en el protocolo antes de realizar el ataque.

Así fue cómo ocurrió. Aproximadamente en otoño de 2025, estos actores se presentaron en una conferencia importante de criptomonedas haciéndose pasar por una firma de trading cuantitativo. Tenían las habilidades técnicas, antecedentes legítimos y realmente entendían el protocolo de Drift. Durante los meses siguientes, pasaron por un proceso de incorporación que parecía totalmente normal: crear un grupo de Telegram, tener conversaciones reales sobre estrategias de trading e integraciones de bóvedas, depositaron más de $1 millones de su propio dinero, e incluso se reunieron cara a cara con contribuyentes de Drift en varias conferencias en diferentes países en febrero y marzo.

Para cuando ejecutaron el exploit el 1 de abril, habían estado construyendo esta relación durante casi seis meses. Ese tipo de paciencia la mayoría de los atacantes no tiene.

La vulnerabilidad real se aprovechó a través de dos vectores ingeniosos. Primero, lograron que las personas descargaran una aplicación de billetera falsa mediante TestFlight, lo cual evita el proceso de revisión de seguridad de Apple. Segundo, explotaron una vulnerabilidad conocida en VSCode y Cursor que la comunidad de seguridad había estado advirtiendo desde finales de 2025; básicamente, solo abrir un archivo en el editor podía ejecutar silenciosamente código arbitrario sin advertencias.

Una vez comprometidos los dispositivos, tuvieron acceso para obtener las aprobaciones multisig que necesitaban. Las transacciones pre-firmadas permanecieron inactivas durante más de una semana antes de ejecutarse el 1 de abril, drenando $270 millones en menos de un minuto.

Los investigadores rastrearon esto hasta UNC4736, también conocido como AppleJeus o Citrine Sleet, el mismo grupo detrás del ataque a Radiant Capital. Curiosamente, las personas que realmente asistieron a las conferencias no eran nacionales norcoreanos. Estos actores despliegan identidades de terceros completamente construidas, con historiales laborales y redes profesionales diseñadas para superar las verificaciones de diligencia debida.

Lo que realmente resulta inquietante de esto es la cuestión más amplia que plantea para DeFi. Si los atacantes están dispuestos a gastar seis meses y un millón de dólares en construir una presencia legítima, reunirse en persona con los equipos, contribuir con capital real y simplemente esperar el momento adecuado, ¿qué modelo de seguridad realmente captura eso? Drift advierte a otros protocolos que auditen los controles de acceso y traten cada dispositivo que toque una multisig como un objetivo potencial. Pero la verdad incómoda es que la gobernanza multisig, en la que la mayoría de la industria confía como su principal modelo de seguridad, podría tener algunas debilidades estructurales profundas cuando se enfrenta a este nivel de sofisticación.

Este es el tipo de incidente que te hace replantear qué significa realmente "seguro" a gran escala.