El mayor obstáculo en el desarrollo de DeFi

Autor: Chloe, ChainCatcher

La semana pasada, el protocolo de préstamos Solana, Drift, fue pirateado, lo que resultó en el robo de aproximadamente 285 millones de dólares en activos de los usuarios. Según las declaraciones oficiales, no se trató de un ataque típico a una vulnerabilidad de contrato inteligente, sino de un ataque de ingeniería social meticulosamente planificado durante seis meses por piratas informáticos patrocinados por el Estado.

Incluso existen indicios que sugieren que el mismo grupo de ciberdelincuentes podría haberse infiltrado ya en el desarrollo central de múltiples protocolos DeFi, no como atacantes, sino como colaboradores.

Los hackers norcoreanos suelen infiltrarse en objetivos iniciales, pero rara vez invierten grandes sumas de dinero.

Según el comunicado relativo al incidente de Drift, la estrategia principal de los atacantes era "integrarse en el ecosistema".

Desde el otoño de 2025, se disfrazaron de empresa de comercio cuantitativo y comenzaron a colaborar con los principales contribuyentes de Drift en las principales conferencias de la industria de las criptomonedas. Este compromiso no fue un hecho aislado, sino más bien múltiples interacciones en diferentes países y conferencias, llevadas a cabo deliberadamente a lo largo de seis meses. Estas personas poseían conocimientos técnicos, contaban con antecedentes verificables y estaban familiarizadas con el funcionamiento de Drift.

Además, sus interacciones no se limitaron a los miembros principales de Drift. El equipo también aprovechó el mecanismo abierto de la Bóveda del Ecosistema de Drift, logrando incluir su propia bóveda como una empresa comercial legítima, depositando más de 1 millón de dólares de sus propios fondos, participando en múltiples reuniones de trabajo y planteando preguntas detalladas sobre el producto, consolidando así la confianza con el equipo del proyecto.

Steven, experto en tecnología blockchain, declaró en una entrevista con ChainCatcher: "Los hackers norcoreanos llevan infiltrándose en sus objetivos desde hace tiempo, lo cual es una práctica común, pero invertir grandes sumas de dinero como base para generar confianza es relativamente raro." Sin embargo, para los atacantes, este millón de dólares es esencialmente una inversión sin riesgo; mientras no lancen un ataque, este dinero son simplemente fondos normales que existen en la bóveda y que pueden retirarse en cualquier momento; y las operaciones reales las llevan a cabo personal externo sin conocimiento de causa, lo que resulta en una pérdida económica prácticamente nula para la propia organización.

Además, durante su larga colaboración con Drift, el equipo compartió proyectos de código y aplicaciones almacenadas en GitHub con el pretexto de mostrar sus propias herramientas de desarrollo. Dadas las circunstancias del momento, era completamente normal que los socios revisaran el código de los demás. Sin embargo, investigaciones posteriores realizadas por Drift revelaron que un colaborador había copiado un proyecto de código de GitHub que contenía código malicioso, mientras que otro colaborador fue inducido a descargar una aplicación de TestFlight disfrazada de producto de billetera digital.

La razón por la que resulta difícil protegerse contra la ruta del proyecto de código es que está totalmente integrada en el flujo de trabajo diario de los desarrolladores. Los desarrolladores suelen usar editores de código como VSCode o Cursor al escribir código, que pueden considerarse como el Word de los ingenieros, algo que abren y usan a diario.

La comunidad de investigación en seguridad descubrió una grave vulnerabilidad en este tipo de editores a finales de 2025: cuando los desarrolladores abrían proyectos de código compartidos por otros, comandos maliciosos ocultos dentro de los proyectos se ejecutaban automáticamente en segundo plano, de forma totalmente encubierta, sin que apareciera ninguna ventana de confirmación en la pantalla, sin necesidad de hacer clic para aceptar y sin proporcionar ninguna advertencia. Los desarrolladores creían que simplemente estaban "mirando el código", pero en realidad sus ordenadores tenían puertas traseras instaladas. Los atacantes explotaron esta vulnerabilidad para ocultar malware dentro de las operaciones diarias que los desarrolladores realizaban de forma rutinaria.

Para cuando se produjo el ataque de Drift el 1 de abril, los registros de chat de Telegram de los atacantes y todos los rastros de malware habían sido borrados por completo, dejando un déficit de tan solo 285 millones de dólares.

¿Es Drift solo la punta del iceberg?

Según una investigación realizada por la organización de respuesta a emergencias de seguridad SEAL 911 en la industria de las criptomonedas, este ataque fue llevado a cabo por el mismo grupo de ciberdelincuentes responsables del hackeo de Radiant Capital en octubre de 2024. Las conexiones incluyen flujos de fondos en la cadena de bloques (los fondos utilizados para preparar y probar esta operación se remontan a los atacantes de Radiant) y patrones operativos (las identidades desplegadas en esta operación muestran coincidencias identificables con actividades conocidas de Corea del Norte). Mandiant, una conocida empresa de análisis forense de seguridad contratada por Drift (ahora parte de Google), había atribuido previamente el incidente de Radiant a la organización UNC4736, afiliada al Estado norcoreano, pero Mandiant aún no ha atribuido formalmente el incidente de Drift, y el análisis forense completo de los dispositivos todavía está en curso.

Cabe destacar que las personas que asistieron personalmente a las reuniones no eran ciudadanos norcoreanos. Steven declaró: "Los hackers norcoreanos no deben ser vistos como una organización de hackers típica, sino más bien como una agencia de inteligencia; se trata de una gran organización con miles de personas y funciones claramente definidas." Entre ellos, el hacker norcoreano Lazarus es conocido formalmente en el ámbito de la seguridad internacional como APT38, mientras que otra organización afiliada, Kimsuky, está designada como APT43.

Esto explica por qué pueden desplegar personas reales sin conexión a internet. Establecen empresas en el extranjero bajo diversos nombres, reclutando personal local que puede incluso desconocer para quién trabajan. "Puede que piense que se ha incorporado a una empresa de teletrabajo normal, y al cabo de un año lo envían a reunirse con un cliente; todo parece normal, pero detrás hay una organización de hackers." Cuando las fuerzas del orden llegan para investigar, esa persona no sabe nada.

Puede que Drift sea solo la punta del iceberg.

Si el incidente de Drift revela una vulnerabilidad en un solo protocolo, las investigaciones posteriores apuntan a un problema mayor: es posible que los mismos métodos hayan estado funcionando en todo el ecosistema DeFi durante años.

Según la investigación del experto en blockchain Tayvano, desde la rápida expansión de DeFi en 2020, las contribuciones de código asociadas con trabajadores informáticos norcoreanos se han extendido a varios proyectos conocidos, incluidos SushiSwap, THORChain, Harmony, Ankr y Yearn Finance.

Los métodos empleados por estas personas son sorprendentemente similares a los del incidente de Drift: usar identidades falsificadas, obtener puestos de desarrollador a través de plataformas para freelancers y contactos directos, entrar en canales de Discord, comunidades de desarrolladores e incluso asistir a reuniones de desarrolladores. Una vez dentro del proyecto, aportan código, participan en los ciclos de desarrollo y generan confianza con el equipo hasta que comprenden toda la arquitectura del protocolo y esperan el momento adecuado para actuar.

Steven cree que, en las agencias de inteligencia tradicionales, pueden incluso permanecer al acecho durante toda una vida, mientras que la siguiente generación continúa con las tareas inconclusas de la generación anterior. Para ellos, los proyectos Web3 son a corto plazo y ofrecen altos beneficios, y la naturaleza del trabajo remoto permite que una persona desempeñe múltiples funciones en diversos proyectos, algo bastante común en la industria Web3 y que no despierta sospechas.

"La organización de hackers norcoreana incluye todos los proyectos Web3 en su ámbito de ataque, examinando cuidadosamente cada proyecto y recopilando información sobre los miembros del equipo." "Su comprensión de los proyectos es más clara que la de los propios equipos de proyecto", dijo Steven. La razón por la que Web3 se ha convertido en un objetivo principal es que este ecosistema cuenta con una gran cantidad de fondos, carece de una regulación global unificada y la prevalencia del trabajo remoto a menudo hace imposible verificar las verdaderas identidades de los colaboradores y empleados. Además, la juventud y la falta de experiencia de los profesionales en general proporcionan un entorno de infiltración ideal para las agencias de inteligencia norcoreanas.

Los incidentes de piratería informática son frecuentes; ¿los equipos de proyecto solo pueden sentarse a esperar?

Si repasamos los incidentes más importantes de los últimos años, la ingeniería social siempre ha sido una táctica fundamental de los grupos de hackers norcoreanos. Recientemente se publicó la autobiografía de CZ, fundador de Binance, titulada "Binance Life", en la que relata el incidente ocurrido en mayo de 2019, cuando Binance fue hackeada y se robaron 7.000 bitcoins. Según CZ, los piratas informáticos primero se infiltraron en las computadoras portátiles de varios empleados utilizando malware avanzado, luego implantaron comandos maliciosos durante el paso final del proceso de retiro, robando los 7.000 bitcoins de la billetera en línea a la 1 a. m. (con un valor aproximado de 40 millones de dólares en ese momento). CZ escribió en el libro que, basándose en los métodos de ataque, los hackers habían estado merodeando en la red de Binance durante algún tiempo y se sospechaba firmemente que pertenecían a Lazarus de Corea del Norte, e incluso que posiblemente sobornaban a empleados internos.

El incidente de la red Ronin en 2022 es también un caso clásico. Ronin es la cadena lateral que respalda el popular juego blockchain Axie Infinity, responsable de gestionar todas las transferencias entre cadenas de los activos del juego, con una gran cantidad de fondos bloqueados en ese momento. El ataque se desencadenó cuando un desarrollador recibió una oferta de trabajo aparentemente muy bien remunerada de una empresa conocida y descargó un archivo que contenía malware durante el proceso de entrevista, lo que permitió a los atacantes obtener acceso interno al sistema y, en última instancia, robar 625 millones de dólares.

El incidente de CoinsPaid de 2023 empleó tácticas casi idénticas. CoinsPaid es un proveedor de servicios de pagos con criptomonedas, y los atacantes se pusieron en contacto con los empleados de forma similar, mediante un proceso de contratación falsificado, induciéndolos a instalar software malicioso antes de infiltrarse en el sistema. Los métodos de piratería informática más recientes se han vuelto aún más diversos: videollamadas falsificadas, cuentas de redes sociales comprometidas y malware disfrazado de software para reuniones.

Las víctimas recibieron enlaces de reuniones de Calendly aparentemente normales y, al hacer clic, se les guió para instalar una aplicación de reuniones falsa, lo que permitió al malware robar carteras, contraseñas, frases de recuperación y registros de comunicación. Se estima que, mediante estos métodos, los grupos de hackers norcoreanos han robado más de 300 millones de dólares.

Al mismo tiempo, también cabe destacar el destino final de los fondos robados. Steven afirmó que los fondos robados terminan bajo el control del gobierno norcoreano. El blanqueo de dinero lo lleva a cabo un equipo especializado dentro de la organización, que configura mezcladores y abre cuentas con identidades falsas en numerosos exchanges, siguiendo un proceso completo y complejo: los fondos se limpian a través de mezcladores inmediatamente después de ser robados, luego se intercambian por criptomonedas centradas en la privacidad y, posteriormente, se transfieren a través de diferentes proyectos DeFi, circulando repetidamente entre exchanges y DeFi.

"Todo el proceso se completa en unos 30 días, y los fondos finales terminan en casinos del sudeste asiático, pequeñas casas de cambio que no requieren verificación de identidad (KYC) y proveedores de servicios extrabursátiles (OTC) en Hong Kong y el sudeste asiático, donde se cobran."

Entonces, ante este nuevo modelo de amenazas, donde los adversarios no son solo atacantes sino también participantes, ¿cómo debería responder la industria de las criptomonedas?

Steven cree que los equipos de proyecto que gestionan grandes cantidades de fondos deberían contratar equipos de seguridad profesionales, establecer puestos de seguridad específicos dentro del equipo y garantizar que todos los miembros principales cumplan estrictamente con los protocolos de seguridad. Es especialmente importante que los dispositivos de desarrollo y los dispositivos responsables de las firmas financieras estén estrictamente aislados físicamente. Mencionó específicamente que un aspecto clave del incidente de Drift fue la cancelación del mecanismo de bloqueo de tiempo, "que nunca debería cancelarse bajo ninguna circunstancia".

Sin embargo, también admitió que si las agencias de inteligencia norcoreanas realmente quieren infiltrarse profundamente, incluso las verificaciones de antecedentes más rigurosas serían difíciles de identificar por completo. Pero la contratación de equipos de seguridad sigue siendo fundamental. Sugirió que los equipos de proyecto introdujeran equipos azules (el lado defensivo en la ciberdefensa y el ataque cibernético), ya que estos equipos no solo pueden ayudar a mejorar la seguridad de los dispositivos y los comportamientos, sino también a monitorear continuamente los nodos clave, lo que permite la detección y respuesta inmediatas a los ataques en caso de fluctuaciones anormales. "Confiar únicamente en las capacidades de seguridad del propio equipo del proyecto es insuficiente para resistir este nivel de ataque."

Añadió que las capacidades de guerra cibernética de Corea del Norte se encuentran entre las cinco mejores del mundo, solo superadas por Estados Unidos, Rusia, China e Israel. Ante tales adversarios, confiar únicamente en las auditorías de código está lejos de ser suficiente.

Conclusión

El incidente de Drift demuestra que las mayores amenazas a las que se enfrenta DeFi hoy en día no son solo las condiciones del mercado o la liquidez; en términos de seguridad, no se trata solo de prevenir vulnerabilidades en el código, ya que los espías pueden estar escondidos justo a tu lado.

Cuando los atacantes están dispuestos a dedicar seis meses e invertir millones de dólares para cultivar una relación, las auditorías de código y las defensas de seguridad tradicionales resultan simplemente insuficientes. Además, según las investigaciones existentes, este conjunto de tácticas podría haber estado en funcionamiento en múltiples proyectos durante años, simplemente sin ser descubierto aún.

La cuestión central ya no es si DeFi puede mantener la descentralización y la apertura; la verdadera pregunta es: ¿puede resistir la infiltración de esos adversarios bien organizados sin dejar de ser abierto?