{"id":448,"date":"2026-04-03T11:05:11","date_gmt":"2026-04-03T11:05:11","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/03\/drift-pierde-285-millones-de-dolares-en-un-ataque-duradero-de-ingenieria-social-vinculado-a-la-rpdc-cyberdefensa-mx\/"},"modified":"2026-04-03T11:05:11","modified_gmt":"2026-04-03T11:05:11","slug":"drift-pierde-285-millones-de-dolares-en-un-ataque-duradero-de-ingenieria-social-vinculado-a-la-rpdc-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/03\/drift-pierde-285-millones-de-dolares-en-un-ataque-duradero-de-ingenieria-social-vinculado-a-la-rpdc-cyberdefensa-mx\/","title":{"rendered":"Drift pierde 285 millones de d\u00f3lares en un ataque duradero de ingenier\u00eda social vinculado a la RPDC \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Intercambio descentralizado basado en Solana Deriva <\/b>ha confirmado que los atacantes drenaron alrededor de 285 millones de d\u00f3lares de la plataforma durante un incidente de seguridad que tuvo lugar el 1 de abril de 2026.<\/p>\n

\u00abHoy, un actor malicioso obtuvo acceso no autorizado al Protocolo Drift a trav\u00e9s de un nuevo ataque que involucra nonces duraderos, lo que result\u00f3 en una r\u00e1pida toma de control de los poderes administrativos del Consejo de Seguridad de Drift\u00bb, dijo la compa\u00f1\u00eda. dicho<\/a> en una serie de publicaciones sobre X.<\/p>\n

\u00abEsta fue una operaci\u00f3n altamente sofisticada que parece haber implicado una preparaci\u00f3n de varias semanas y una ejecuci\u00f3n por etapas, incluido el uso de cuentas nonce duraderas para prefirmar transacciones que retrasaron la ejecuci\u00f3n\u00bb.<\/p>\n

Drift se\u00f1al\u00f3 que el ataque no aprovech\u00f3 una vulnerabilidad en sus programas o contratos inteligentes, y que no hay evidencia de frases iniciales comprometidas. M\u00e1s bien, se dice que la violaci\u00f3n \u00abinvolucr\u00f3 aprobaciones de transacciones no autorizadas o tergiversadas obtenidas antes de la ejecuci\u00f3n, probablemente facilitadas a trav\u00e9s de mecanismos nonce duraderos e ingenier\u00eda social sofisticada\u00bb, explic\u00f3.<\/p>\n

Para ello, los actores de amenazas obtuvieron suficientes aprobaciones de firmas m\u00faltiples (multifirma) y ejecut\u00f3 una transferencia de administrador maliciosa<\/a> en cuesti\u00f3n de minutos para obtener el control de los permisos a nivel de protocolo y, en \u00faltima instancia, aprovecharlos para \u00abintroducir un activo malicioso y eliminar todos los l\u00edmites de retiro preestablecidos, atacando los fondos existentes\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Seg\u00fan una cronolog\u00eda de eventos compartida por Drift, los preparativos para el ataque estaban en marcha ya el 23 de marzo de 2026. La compa\u00f1\u00eda dijo que est\u00e1 coordinando con m\u00faltiples firmas de seguridad para determinar la causa del incidente, agregando que est\u00e1 trabajando con puentes, intercambios y fuerzas del orden para rastrear y congelar los activos robados.<\/p>\n

En informes separados publicados el jueves, tanto Elliptic como TRM Labs dijeron que hay indicios en la cadena de que los ladrones de criptomonedas de Corea del Norte pueden estar detr\u00e1s del atraco de criptomonedas.<\/p>\n

Esto inclu\u00eda el uso de Tornado Cash para la puesta en escena inicial, as\u00ed como los patrones de conexi\u00f3n entre cadenas y la velocidad y escala del lavado posterior al hackeo que son consistentes con hackeos previamente atribuidos a actores de amenazas norcoreanos, incluido el exploit masivo de Bybit de 2025.<\/a><\/p>\n

\u00abLa vulnerabilidad cr\u00edtica no fue un error de contrato inteligente, sino una combinaci\u00f3n de firmantes multifirma de ingenier\u00eda social para firmar previamente autorizaciones ocultas y una migraci\u00f3n del Consejo de Seguridad con bloqueo de tiempo cero que elimin\u00f3 la \u00faltima l\u00ednea de defensa del protocolo\u00bb, TRM Labs dicho<\/a>.<\/p>\n

\u00abEl atacante fabric\u00f3 un activo completamente ficticio, CarbonVote Token, con unos pocos miles de d\u00f3lares en liquidez inicial y operaciones de lavado, y los or\u00e1culos de Drift lo trataron como una garant\u00eda leg\u00edtima por valor de cientos de millones de d\u00f3lares\u00bb.<\/p>\n

La firma de inteligencia blockchain tambi\u00e9n se\u00f1al\u00f3 que el token CarbonVote se implement\u00f3 a las 09:30 hora de Pyongyang.<\/p>\n

Elliptic, en su propio an\u00e1lisis del incidente de seguridad, dijo que el comportamiento en cadena, las metodolog\u00edas de lavado y los indicadores a nivel de red se alinean con el arte conocido asociado con actores de amenazas de la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC).<\/p>\n

La compa\u00f1\u00eda tambi\u00e9n se\u00f1al\u00f3 que, si se confirma, este incidente \u00abrepresentar\u00eda el decimoctavo acto de la RPDC\u00bb que ha seguido desde principios de a\u00f1o, con m\u00e1s de 300 millones de d\u00f3lares robados hasta la fecha.<\/p>\n

\u00abEs una continuaci\u00f3n de la campa\u00f1a sostenida de la RPDC de robo de criptoactivos a gran escala, que el gobierno de Estados Unidos ha vinculado con la financiaci\u00f3n de sus programas de armas\u00bb, Elliptic dicho<\/a>. \u00abSe cree que los actores vinculados a la RPDC han robado m\u00e1s de 6.500 millones de d\u00f3lares en criptoactivos en los \u00faltimos a\u00f1os\u00bb.<\/p>\n

Se estima que la operaci\u00f3n de robo de criptoactivos de Corea del Norte gener\u00f3 un r\u00e9cord de 2 mil millones de d\u00f3lares en 2025, de los cuales aproximadamente 1,46 mil millones de d\u00f3lares se originaron en el hackeo de Bybit en febrero de 2025.<\/p>\n

La principal v\u00eda de acceso inicial a trav\u00e9s de la cual se ejecutan estos ataques sigue siendo la ingenier\u00eda social, aprovechando personas y se\u00f1uelos persuasivos para apuntar a los sectores de criptomonedas y Web3 a trav\u00e9s de campa\u00f1as rastreadas como DangerousPassword (tambi\u00e9n conocido como CageyChameleon, CryptoMimic y CryptoCore) y Contagious Interview. A finales de febrero de 2026, las ganancias combinadas de las campa\u00f1as gemelas totalizan 37,5 millones de d\u00f3lares este a\u00f1o.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abLa operaci\u00f3n de robo de criptoactivos de la RPDC no es una serie de incidentes aislados. Es una campa\u00f1a sostenida y bien dotada de recursos que est\u00e1 creciendo en escala y sofisticaci\u00f3n\u00bb, Elliptic dicho<\/a>.<\/p>\n

\u00abLa evoluci\u00f3n de las t\u00e9cnicas de ingenier\u00eda social de la RPDC, combinada con la creciente disponibilidad de IA para refinar y perfeccionar estos m\u00e9todos, significa que la amenaza se extiende mucho m\u00e1s all\u00e1 de los intercambios. Los desarrolladores individuales, los contribuyentes de proyectos y cualquier persona con acceso a la infraestructura de criptoactivos son un objetivo potencial\u00bb.<\/p>\n

El desarrollo coincide con el compromiso de la cadena de suministro del popular paquete Axios npm, que m\u00faltiples proveedores de seguridad, incluidos Google, Microsoft, CrowdStrike y Sophos, han atribuido a un grupo de pirater\u00eda norcoreano llamado UNC1069, que se superpone con BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet y Stardust Chollima.<\/p>\n

\u00abEste grupo patrocinado por el Estado se centra en generar ingresos para el r\u00e9gimen norcoreano\u00bb, Sophos dicho<\/a>. \u00abLos artefactos incluyen metadatos forenses id\u00e9nticos y patrones de comando y control (C2), as\u00ed como conexiones con malware utilizado exclusivamente por Nickel Gladstone. Seg\u00fan estos artefactos, es muy probable que Nickel Gladstone sea responsable de los ataques de Axios\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Intercambio descentralizado basado en Solana Deriva ha confirmado que los atacantes drenaron alrededor de 285 millones de d\u00f3lares de la plataforma durante un incidente de seguridad que tuvo lugar el 1 de abril de 2026. \u00abHoy, un actor malicioso obtuvo acceso no autorizado al Protocolo Drift a trav\u00e9s de un nuevo ataque que involucra nonces […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[181,24,240,1531,1533,1534,239,1532,1024,1535,242],"class_list":["post-448","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-ataque","tag-cyberdefensa-mx","tag-dolares","tag-drift","tag-duradero","tag-ingenieria","tag-millones","tag-pierde","tag-rpdc","tag-social","tag-vinculado"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/448","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=448"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/448\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=448"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=448"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=448"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}