Drift Confirma: Hack de US$ 285 Millones Fue Operación de Inteligencia Norcoreana de 6 Meses — Conoce el UNC4736

De la Conferencia Cripto al Exploit: La Anatomía de una Operación de Inteligencia

En 5 de abril de 2026, el Drift Protocol publicó un post-mortem detallado del ataque de US$ 285 millones sufrido el 1º de abril. La revelación cambia la narrativa del caso: no fue un exploit oportunista, fue una operación de inteligencia de seis meses conducida por un grupo estatal norcoreano con el apodo UNC4736 — también conocido como AppleJeus, Citrine Sleet, Golden Chollima y Gleaming Pisces.

El caso es, hasta el momento, el mayor hack DeFi de 2026. Y es también una lección magistral sobre cómo la era actual del crimen cripto se parece mucho más al espionaje tradicional que a invasiones por vulnerabilidades de código.

La Línea de Tiempo Completa

Otoño de 2025: El Primer Contacto

El inicio oficial fue en una gran conferencia cripto en el segundo semestre de 2025. Agentes del UNC4736, presentándose como representantes de una firma de trading cuantitativo, abordaron a contributors del Drift Protocol. El pitch: integrar estrategias de trading automatizadas vía el sistema de Ecosystem Vaults del protocolo.

Este es el detalle crítico que distingue la operación de ataques convencionales. Los hackers no golpearon el perímetro de seguridad — se ofrecieron para entrar por la puerta principal como socios legítimos.

Diciembre 2025 – Enero 2026: Infiltración Formal

El grupo completó el proceso de onboarding de un Ecosystem Vault, rellenando formularios con detalles de estrategia. Durante esa fase:

• Demostraron conocimiento técnico profundo, haciendo preguntas sofisticadas sobre el producto
• Depositaron más de US$ 1 millón de sus propios fondos — demostración de "skin in the game" que eliminó desconfianzas iniciales
• Construyeron relaciones personales con múltiples contributors vía Telegram, Discord y llamadas
• Se integraron gradualmente a la operación diaria del protocolo

Febrero – Marzo 2026: Escalación

Con posición establecida, vinieron los vectores de comprometimiento:

Vector 1 — Código Malicioso vía "Frontend Deployment"

El grupo compartió un repositorio Git con un contributor, alegando ser un frontend personalizado para el vault de ellos. Al clonar y ejecutar el código localmente, el contributor fue comprometido — malware estableció persistencia en el sistema operativo y pasó a exfiltrar claves y credenciales.

Vector 2 — TestFlight Weaponizado

Con un segundo contributor, la táctica fue aún más sofisticada. El grupo presentó una "beta version" de una app vía Apple TestFlight, describiéndola como el "producto de cartera" que la firma estaba construyendo. Al instalar la app, el contributor comprometió su propio dispositivo — y el entorno en el que mantenía claves sensibles.

El uso de TestFlight es particularmente perverso: el sistema de Apple transmite falsa sensación de seguridad (revisión, firma digital, Apple ID). Pero las betas pueden ser distribuidas con código malicioso si los revisores de Apple no detectan el comportamiento latente.

1º de Abril de 2026: La Ejecución

Con acceso suficiente a las infraestructuras internas del Drift, el grupo ejecutó el ataque que analizamos en detalle en la cobertura anterior: 31 transacciones en 12 minutos, drenaje de US$ 285 millones en múltiples activos, uso de durable nonce accounts y manipulación de oráculos vía token fake (CarbonVote).

Quién Es el UNC4736

El grupo, rastreado por múltiples firmas de threat intelligence (Mandiant, Microsoft, Google TAG), es una de las unidades más activas del aparato cibernético norcoreano. Sus apodos reflejan cómo cada investigación lo mapea:

• AppleJeus: nombre histórico, utilizado desde campañas de caballos de Troya en apps de trading cripto (2018+)
• Citrine Sleet: taxonomía Microsoft
• Golden Chollima: taxonomía CrowdStrike
• Gleaming Pisces: taxonomía Palo Alto Networks

Todas estas designaciones apuntan a el mismo actor estatal vinculado al Reconnaissance General Bureau (RGB) de la DPRK — la agencia de inteligencia que también supervisa el infame Lazarus Group.

Por Qué Esto Importa Para Todo el DeFi

El Nuevo Normal: Infiltración, No Invasión

Durante años, la narrativa del hack DeFi era "bug de smart contract" o "fallo de multisig". El Drift representa una evolución brutal: ataques de cadena humana que explotan procesos administrativos, confianza interpersonal y herramientas de colaboración. El código bien auditado no protege contra esto.

Ecosystem Vaults Como Nuevo Vector

Los protocolos que permiten a terceros integrar estrategias necesitarán replantear drásticamente el due diligence de socios. Cuestionamientos que no eran estándar:

• Verificación de identidad real de los operadores (KYC de socios)
• Análisis de fondos — origen de capital de "firmas quant" misteriosas
• Due diligence de referencias del sector
• Límites de exposición por socio nuevo
• Sandbox aislado para código o apps compartidas

Seguridad Operacional de Contributors

Para desarrolladores que trabajan en protocolos DeFi:

• Nunca clones repositorios de contactos no-verificados en máquinas con acceso a claves
• Usa máquinas air-gapped o VMs desechables para probar código externo
• Desconfía de invitaciones TestFlight de terceros — incluso con apariencia legítima
• Multi-sig real con hardware wallets en cada firmante — comprometer 1/5 no debe dar acceso suficiente
• Timelocks de 24-48h en operaciones administrativas

¿Se Fue el Dinero?

El post-colapso del Drift se resume en una carrera contra el tiempo:

• Porción significativa fue convertida en USDC — Circle ya congeló direcciones identificadas
• Parte se convirtió en SOL y ETH, con flujos cross-chain vía puentes conocidos
• Tether está bajo presión para congelar el USDT robado (US$ 5,6 millones)
• Patrones de lavado consistentes con mixers, P2P OTC y conversión eventual a monedas fiat vía corredores asiáticos

Estimaciones preliminares sugieren que 30-50% de los fondos serán recuperados o congelados. El resto probablemente entrará en el mismo canal que financió los US$ 6+ mil millones robados por la DPRK desde 2017 — sustentando programas nucleares y de misiles.

Respuesta Regulatoria y de Mercado

El caso Drift acelera tres conversas:

1. Seguridad DeFi como prioridad regulatoria: SEC, OFAC y contrapartes europeos discuten requisitos mínimos de security framework
2. Stablecoins y poder de congelamiento: refuerza el argumento de que los emisores centralizados (Circle, Tether) tienen papel sistémico — tanto positivo (congelar robo) como preocupante (censura)
3. Cooperación internacional anti-DPRK: Tesorería americana (OFAC), Corea del Sur (FIU) y Japón coordinan sanciones a direcciones identificadas

Conclusión: La Era de los Hacks Humanos

El Drift Protocol es el caso más didáctico de la nueva generación de amenazas. No hay firewall que detenga a un ingeniero social que pasa seis meses construyendo confianza. No hay smart contract auditado que resista a una clave administrativa comprometida. Y no hay whitehat que pueda revertir fondos que ya atravesaron cinco puentes y tres mixers.

La lección para el ecosistema es incómoda, pero necesaria: el DeFi necesita profesionalizar la seguridad operacional al nivel de empresas financieras tradicionales. Verificaciones de antecedentes de socios, compliance interno, segregación de accesos, simulación de ataques. La era de "confía pero verifica" se está convirtiendo en "nunca confíes, siempre verifica" — y el costo de no aprender esto se mide en cientos de millones.

Mientras tanto, el grupo UNC4736 probablemente ya comenzó su próximo ciclo de seis meses en alguna otra conferencia cripto. El arma es la paciencia. La meta es financiar misiles. Y el Drift no será el último.

Aviso: Este contenido es informativo y se basa en comunicación oficial del Drift Protocol y análisis públicos de firmas de threat intelligence. No constituye recomendación de inversión.