Actores norcoreanos extrajeron aproximadamente $577 millones durante los primeros cuatro meses de 2026, una suma que representa el 76% de todas las pérdidas globales por hackeos de criptomonedas durante ese período, según la firma de inteligencia blockchain TRM Labs.
Las pérdidas provienen de dos incidentes de abril, incluyendo el exploit de KelpDAO de $292 millones y el ataque al Protocolo Drift de $285 millones, que según TRM en un informe, representaron el 3% del total de incidentes de hackeo en 2026 hasta abril.
Según el informe, el ataque a Drift provino de un subgrupo norcoreano separado de TraderTraitor, la operación afiliada a Lazarus bien documentada, aunque la atribución específica sigue bajo investigación. La violación de KelpDAO fue obra de TraderTraitor, según indicó el informe.
El hackeo de Drift implicó meses de reuniones presenciales entre proxies norcoreanos y empleados de Drift, dijo el equipo de TRM, señalando que la planificación del ataque comenzó tan pronto como el 11 de marzo antes de que el atacante creara cuentas de nonce duradero en Solana e indujera a los firmantes multisig del Consejo de Seguridad de Drift a preautorizar transacciones.
Luego, el 1 de abril, días después de que Drift migrara su Consejo de Seguridad a una nueva configuración de umbral de 2/5 con cero bloqueo de tiempo, el atacante implementó 31 retiros pre-firmados para drenar los fondos en una fase de ejecución rápida que duró aproximadamente 12 minutos, añadió el equipo. Los fondos fueron posteriormente puenteados a Ethereum, donde han permanecido en gran parte inactivos desde entonces.
Mientras tanto, el ataque a KelpDAO siguió un camino técnico diferente, explotando un diseño de verificador único en un puente de LayerZero al comprometer la infraestructura RPC y manipular la lógica de validación entre cadenas, según el informe.
TRM dijo que los atacantes drenaron aproximadamente 116.500 rsETH después de forzar que la verificación fallara y se dirigiera a nodos comprometidos, con el posterior lavado de dinero dirigido a través de infraestructura entre cadenas, incluyendo THORChain, después de congelaciones parciales de activos en Arbitrum.
El equipo de TRM dijo que la participación de Corea del Norte en las pérdidas globales por hackeos de criptomonedas se ha “acelerado” en lugar de estancarse, aumentando de menos del 10% en 2020 y 2021 al 22% en 2022, 37% en 2023, 39% en 2024 y 64% en 2025. El robo acumulado atribuido ahora supera los $6 mil millones desde 2017.
La firma señaló la violación de Bybit de $1.46 mil millones en 2025 como un punto de inflexión clave en el perfil de actividad reciente de Corea del Norte. Desde entonces, TRM dijo que la cadencia operativa se ha mantenido constante, con grupos de élite priorizando menos ataques, pero de mayor impacto, dirigidos a puentes, sistemas de gobernanza multisig e infraestructura entre cadenas.
TRM dijo que los incidentes de Drift y KelpDAO resaltan enfoques divergentes para el lavado de dinero. Un grupo asociado con Drift ha dejado los activos en gran parte inactivos después del puente inicial a Ethereum y probablemente “mantendrá las ganancias durante meses o años, para luego ejecutar una retirada estructurada y multifase”.
Los atacantes de KelpDAO, mientras tanto, movieron fondos más rápidamente a través de intercambios entre cadenas a Bitcoin a través de THORChain, con la fase de lavado en curso manejada en gran parte por intermediarios chinos, no por los propios norcoreanos, según TRM.
Las prioridades de monitoreo de cumplimiento descritas por TRM incluyen flujos vinculados a THORChain desde entornos de puente comprometidos, rastreo de transacciones multi-salto a través de la infraestructura del puente, y el cribado de rutas de depósito relacionadas con la gobernanza de Solana que involucran transacciones de nonce duradero.
La firma también destacó la participación de Beacon Network en intercambios y protocolos DeFi como un mecanismo para acelerar las alertas entre plataformas una vez que se identifican las direcciones vinculadas a Corea del Norte.
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigaciones y datos. A partir de noviembre de 2023, Foresight Ventures es un inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del espacio cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block continúa operando de forma independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.
© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
