El mayor obstáculo para el desarrollo de las finanzas descentralizadas

Autor: Chloe, ChainCatcher

La semana pasada, el protocolo de préstamos de Solana Drift fue víctima de un ataque informático, lo que provocó el robo de aproximadamente 285 millones de dólares en activos de los usuarios. Según declaraciones oficiales, no se trató de un ataque típico aprovechando una vulnerabilidad de un contrato inteligente, sino de un ataque de ingeniería social meticulosamente planificado y prolongado durante seis meses, perpetrado por hackers patrocinados por un Estado.

Incluso hay pruebas de investigaciones que sugieren que ese mismo grupo de actores maliciosos podría haberse infiltrado ya en el núcleo de desarrollo de varios protocolos DeFi, no como atacantes, sino como colaboradores.

Los hackers norcoreanos suelen infiltrarse en objetivos iniciales, pero rara vez invierten grandes sumas de dinero

Según el comunicado sobre el incidente de Drift, la estrategia principal de los atacantes consistía en «formar parte del ecosistema».

Desde el otoño de 2025, se hicieron pasar por una empresa de trading cuantitativo y empezaron a entablar contacto con los principales colaboradores de Drift en las principales conferencias del sector de las criptomonedas. Esta colaboración no fue un hecho aislado, sino más bien una serie de interacciones en distintos países y conferencias, llevadas a cabo deliberadamente a lo largo de seis meses. Estas personas poseían conocimientos técnicos, contaban con una trayectoria demostrable y conocían bien el funcionamiento de Drift.

Además, sus interacciones no se limitaban a los miembros principales de Drift. El equipo también aprovechó el mecanismo abierto de Ecosystem Vault de Drift: logró registrar su propia caja fuerte como una empresa comercial legítima, depositó más de un millón de dólares de sus propios fondos, participó en múltiples reuniones de trabajo y planteó preguntas detalladas sobre el producto, consolidando así la confianza con el equipo del proyecto.

Steven, experto en tecnología blockchain, declaró en una entrevista con ChainCatcher: «Los piratas informáticos norcoreanos llevan tiempo infiltrándose en sus objetivos, lo cual es una práctica habitual, pero invertir grandes sumas de dinero como base para generar confianza es algo relativamente poco habitual». Sin embargo, para los atacantes, este millón de dólares es, en esencia, una inversión sin riesgo; mientras no lancen un ataque, este dinero no es más que fondos normales depositados en la caja fuerte, que pueden retirarse en cualquier momento; y las operaciones reales las lleva a cabo personal externo que actúa sin saberlo, por lo que la organización en sí apenas sufre pérdidas económicas.

Además, durante su larga colaboración con Drift, el equipo compartió proyectos de código y aplicaciones almacenados en GitHub con el pretexto de mostrar sus propias herramientas de desarrollo. Dadas las circunstancias de aquel momento, era totalmente normal que los compañeros revisaran el código unos de otros. Sin embargo, investigaciones posteriores llevadas a cabo por Drift revelaron que un colaborador había copiado un proyecto de código de GitHub que contenía código malicioso, mientras que a otro colaborador se le indujo a descargar una aplicación de TestFlight camuflada como un producto de monedero digital.

La razón por la que es difícil protegerse contra la vía del proyecto de código es que está totalmente integrada en el flujo de trabajo diario de los desarrolladores. Los desarrolladores suelen utilizar editores de código como VSCode o Cursor a la hora de escribir código; se podría decir que son el Word de los ingenieros, algo que abren y utilizan a diario.

A finales de 2025, la comunidad de investigación en seguridad descubrió una grave vulnerabilidad en este tipo de editores: cuando los desarrolladores abrían proyectos de código compartidos por otros usuarios, los comandos maliciosos ocultos en dichos proyectos se ejecutaban automáticamente en segundo plano, de forma totalmente encubierta, sin que aparecieran ventanas de confirmación en la pantalla, sin necesidad de hacer clic para aceptar y sin mostrar ninguna advertencia. Los desarrolladores creían que solo estaban «revisando el código», pero en realidad se habían instalado puertas traseras en sus ordenadores. Los atacantes aprovecharon esta vulnerabilidad para ocultar malware en las tareas diarias que los desarrolladores realizaban habitualmente.

Para cuando se produjo el ataque Drift el 1 de abril, los registros de los chats de Telegram de los atacantes y todos los rastros del malware ya se habían borrado por completo, dejando solo un agujero de 285 millones de dólares.

¿Es Drift solo la punta del iceberg?

Según una investigación realizada por la organización de respuesta de seguridad en situaciones de emergencia SEAL 911, especializada en el sector de las criptomonedas, este ataque fue perpetrado por el mismo grupo de ciberdelincuentes responsable del ataque a Radiant Capital ocurrido en octubre de 2024. Entre las conexiones se incluyen los flujos de fondos en la cadena de bloques (los fondos utilizados para preparar y probar esta operación se remontan a los atacantes de Radiant) y los patrones operativos (las identidades utilizadas en esta operación muestran coincidencias identificables con actividades conocidas de Corea del Norte). Mandiant, una reconocida empresa de análisis forense de seguridad contratada por Drift (que ahora forma parte de Google), había atribuido anteriormente el incidente de Radiant a la organización UNC4736, vinculada al Estado norcoreano; sin embargo, Mandiant aún no ha atribuido formalmente el incidente de Drift, y el análisis forense completo de los dispositivos sigue en curso.

Cabe destacar que las personas que asistieron personalmente a las reuniones no eran ciudadanos norcoreanos. Steven afirmó: «No se debe considerar a los hackers norcoreanos como una organización de piratería informática al uso, sino más bien como una agencia de inteligencia; se trata de una gran organización con miles de personas y funciones claramente definidas». Entre ellos, el grupo de hackers norcoreano Lazarus es conocido oficialmente en el ámbito de la seguridad internacional como APT38, mientras que otra organización afiliada, Kimsuky, se denomina APT43.

Esto explica por qué pueden desplegar personal real fuera de línea. Crean empresas en el extranjero bajo diversos nombres y contratan a personal local, que puede que ni siquiera sepa para quién está trabajando. «Puede que piense que se ha incorporado a una empresa normal de teletrabajo y que, al cabo de un año, lo envían a reunirse con un cliente; todo parece normal, pero en realidad se trata de una organización dedicada al pirateo informático». «Cuando llega la policía a investigar, esa persona no sabe nada».

Ahora bien, puede que Drift sea solo la punta del iceberg.

Si el incidente de Drift pone de manifiesto una vulnerabilidad en un único protocolo, las investigaciones posteriores apuntan a un problema más amplio: es posible que esos mismos métodos hayan estado operando en todo el ecosistema DeFi durante años.

Según la investigación del experto en blockchain Tayvano, desde la rápida expansión de las finanzas descentralizadas (DeFi) en 2020, las contribuciones de código asociadas a trabajadores de TI norcoreanos se han extendido por varios proyectos de renombre, entre los que se incluyen SushiSwap, THORChain, Harmony, Ankr y Yearn Finance.

Los métodos empleados por estas personas son sorprendentemente similares a los del incidente de Drift: utilizan identidades falsas, consiguen puestos de desarrollo a través de plataformas de autónomos y contactos directos, se cuelan en canales de Discord y comunidades de desarrolladores, e incluso asisten a reuniones de desarrolladores. Una vez dentro del proyecto, aportan código, participan en los ciclos de desarrollo y se ganan la confianza del equipo hasta que comprenden toda la arquitectura del protocolo y esperan el momento oportuno para actuar.

Steven cree que, en las agencias de inteligencia tradicionales, pueden incluso permanecer a la espera toda una vida, y que la siguiente generación continúa las tareas inconclusas de la anterior. Para ellos, los proyectos Web3 son a corto plazo y ofrecen una alta rentabilidad, y la naturaleza del teletrabajo permite que una sola persona desempeñe múltiples funciones en distintos proyectos, algo bastante habitual en el sector Web3 y que no despierta sospechas.

«La organización de hackers norcoreana incluye todos los proyectos Web3 en su ámbito de ataque, analizando minuciosamente cada proyecto y recopilando información sobre los miembros del equipo. «Su comprensión de los proyectos es más clara que la de los propios equipos de proyecto», dijo Steven. La razón por la que Web3 se ha convertido en un objetivo principal es que este ecosistema cuenta con una gran cantidad de fondos, carece de una regulación global unificada y, debido al predominio del teletrabajo, a menudo resulta imposible verificar la verdadera identidad de los colaboradores y empleados. Además, el hecho de que los profesionales sean, en general, jóvenes y sin experiencia ofrece un entorno ideal para la infiltración de los servicios de inteligencia norcoreanos.

Los incidentes de piratería informática son habituales; ¿los equipos de proyecto solo pueden quedarse de brazos cruzados?

Si echamos la vista atrás a los incidentes más destacados de los últimos años, la ingeniería social siempre ha sido una táctica fundamental de los grupos de hackers norcoreanos. Recientemente se ha publicado «Binance Life», las memorias del fundador de Binance, CZ, en las que relata el incidente ocurrido en mayo de 2019, cuando Binance sufrió un ataque informático en el que se sustrajeron 7.000 bitcoins. Según CZ, los hackers se infiltraron primero en los ordenadores portátiles de varios empleados utilizando malware avanzado y, a continuación, introdujeron comandos maliciosos durante la fase final del proceso de retirada, sustrayendo los 7 000 bitcoins del monedero activo a la 1 de la madrugada (por un valor aproximado de 40 millones de dólares en ese momento). CZ escribió en el libro que, a juzgar por los métodos de ataque, los hackers llevaban algún tiempo acechando en la red de Binance y se sospechaba firmemente que pertenecían al grupo norcoreano Lazarus, que incluso podría haber sobornado a empleados internos.

El incidente de Ronin Network de 2022 es también un caso clásico. Ronin es la cadena lateral que sustenta el popular juego blockchain Axie Infinity, encargada de gestionar todas las transferencias entre cadenas de los activos del juego, con una gran cantidad de fondos bloqueados en ese momento. El ataque se desencadenó cuando un desarrollador recibió una oferta de trabajo aparentemente muy bien remunerada de una empresa de renombre y descargó un archivo que contenía malware durante el proceso de selección, lo que permitió a los atacantes acceder al sistema interno y, finalmente, sustraer 625 millones de dólares.

El incidente de CoinsPaid de 2023 utilizó tácticas casi idénticas. CoinsPaid es un proveedor de servicios de pagos con criptomonedas, y los atacantes se pusieron en contacto con los empleados mediante un proceso de selección de personal falso, induciéndolos a instalar malware antes de infiltrarse en el sistema. Los métodos de piratería informática más recientes se han vuelto aún más variados: videollamadas falsificadas, cuentas de redes sociales comprometidas y malware camuflado como software para reuniones.

Las víctimas recibieron enlaces a reuniones de Calendly que parecían normales y, al hacer clic en ellos, se les indicaba que instalaran una aplicación de reuniones falsa, lo que permitía al malware robar carteras, contraseñas, frases de recuperación y registros de comunicaciones. Se calcula que, mediante estos métodos, los grupos de hackers norcoreanos han sustraído más de 300 millones de dólares.

Al mismo tiempo, también cabe destacar el destino final de los fondos sustraídos. Steven afirmó que los fondos sustraídos acaban bajo el control del Gobierno norcoreano. El blanqueo de capitales lo lleva a cabo un equipo especializado dentro de la organización, que configura mezcladores y abre cuentas con identidades falsas en numerosas plataformas de intercambio, siguiendo un proceso completo y complejo: los fondos se blanquean a través de mezcladores inmediatamente después de ser sustraídos, luego se cambian por monedas de privacidad y, posteriormente, se transfieren a diferentes proyectos DeFi, circulando repetidamente entre las plataformas de intercambio y el DeFi.

«Todo el proceso se completa en unos 30 días, y los fondos finales terminan en casinos del sudeste asiático, pequeñas plataformas de intercambio que no exigen la verificación de identidad (KYC) y proveedores de servicios OTC en Hong Kong y el sudeste asiático, donde se retiran en efectivo».

Entonces, ante este nuevo modelo de amenaza, en el que los adversarios no solo son atacantes, sino también participantes, ¿cómo debería responder el sector de las criptomonedas?

Steven considera que los equipos de proyecto que gestionan grandes cantidades de fondos deberían contratar a equipos de seguridad profesionales, crear puestos específicos de seguridad dentro del equipo y garantizar que todos los miembros principales cumplan estrictamente los protocolos de seguridad. Es especialmente importante que los dispositivos de desarrollo y los dispositivos encargados de las firmas digitales estén estrictamente aislados físicamente. Mencionó específicamente que un aspecto clave del incidente de Drift fue la desactivación del mecanismo de búfer de bloqueo temporal, «que nunca debería desactivarse bajo ningún concepto».

Sin embargo, también admitió que, si los servicios de inteligencia norcoreanos realmente quisieran infiltrarse en profundidad, incluso unas rigurosas comprobaciones de antecedentes tendrían dificultades para identificarlos por completo. No obstante, sigue siendo fundamental contar con equipos de seguridad. Sugirió que los equipos de proyecto incorporaran equipos azules (la parte defensiva en la ofensiva y la defensa cibernéticas), ya que estos no solo pueden ayudar a mejorar la seguridad de los dispositivos y los comportamientos, sino que también supervisan continuamente los nodos clave, lo que permite detectar y responder de inmediato a los ataques en caso de que se produzcan fluctuaciones anormales. «Confiar únicamente en las capacidades de seguridad del propio equipo del proyecto no es suficiente para hacer frente a un ataque de esta magnitud».

Añadió que las capacidades de guerra cibernética de Corea del Norte se encuentran entre las cinco primeras del mundo, solo por detrás de Estados Unidos, Rusia, China e Israel. Ante adversarios de este tipo, limitarse únicamente a las auditorías de código dista mucho de ser suficiente.

Conclusión

El incidente de Drift demuestra que las mayores amenazas a las que se enfrenta hoy en día el DeFi no son solo las condiciones del mercado o la liquidez; en lo que respecta a la seguridad, no se trata únicamente de prevenir vulnerabilidades en el código, ya que puede haber espías acechando justo a tu lado.

Cuando los atacantes están dispuestos a dedicar seis meses e invertir millones de dólares para establecer una relación, las auditorías de código y las defensas de seguridad tradicionales resultan sencillamente insuficientes. Además, según las investigaciones disponibles, es posible que este conjunto de tácticas lleve años utilizándose en múltiples proyectos, aunque aún no se haya descubierto.

La cuestión ya no es si las finanzas descentralizadas (DeFi) pueden mantener su descentralización y su carácter abierto; la verdadera pregunta es: ¿pueden resistir la infiltración de esos adversarios tan bien camuflados sin dejar de ser abiertas?