Los hackers norcoreanos han robado casi tres cuartas partes de toda la criptomoneda sustraída por ciberdelincuentes en lo que va de este año, no a través de una campaña implacable de ataques, sino mediante dos atracos ejecutados con precisión que tuvieron como objetivo plataformas de finanzas descentralizadas en abril, según un nuevo informe de la firma de inteligencia de blockchain TRM Labs.
Los dos incidentes —una vulneración de 285 millones de dólares del Drift Protocol el 1 de abril y un exploit de 292 millones de dólares de Kelp DAO el 18 de abril— representan en conjunto el 76% de todas las pérdidas por hackeos de criptomonedas rastreadas hasta abril, a pesar de constituir solo el 3% del número total de incidentes registrados.
En total, TRM Labs estima que los hackers vinculados a Corea del Norte han sustraído más de 6 mil millones de dólares de protocolos y proyectos cripto desde 2017, incluyendo algunos de los peores atracos de la industria.
Las cifras reflejan una concentración acelerada del robo de criptomonedas por parte de operativos norcoreanos vinculados al estado. La participación de Pyongyang en las pérdidas totales por hackeos de criptomonedas ha crecido de menos del 10% en 2020 y 2021 a 22% en 2022, 37% en 2023, 39% en 2024 y 64% en 2025. La cifra de 2026 del 76% hasta abril es la participación sostenida más alta registrada.
El ataque a Drift Protocol fue notable por su paciencia. La preparación en la cadena comenzó el 11 de marzo, y la campaña involucró reuniones en persona entre representantes norcoreanos y empleados de Drift durante un período de meses—una táctica que los analistas de TRM describieron como potencialmente sin precedentes en la larga campaña de hackeos de criptomonedas de Corea del Norte.
Los atacantes explotaron una característica de Solana llamada "durable nonce" (nonce duradero), que permite retener transacciones pre-firmadas y desplegarlas en un momento posterior. El 1 de abril, se ejecutaron 31 retiros en aproximadamente 12 minutos, vaciando activos reales incluyendo USDC y JLP. Los fondos robados fueron movidos rápidamente a Ethereum y han permanecido inactivos desde entonces.
El ataque a Kelp DAO tomó una ruta diferente. Los atacantes comprometieron dos nodos RPC internos y luego lanzaron un ataque de denegación de servicio contra nodos externos, obligando al único verificador del puente a depender de las fuentes de datos contaminadas. Esos nodos reportaron falsamente que el activo subyacente había sido quemado en la cadena de origen cuando tal acción no había ocurrido, y aproximadamente 116,500 rsETH —valorados en alrededor de 292 millones de dólares— fueron sustraídos del contrato del puente de Ethereum.
Después del robo de Kelp DAO, el Consejo de Seguridad de Arbitrum ejerció poderes de emergencia para congelar aproximadamente 75 millones de dólares de los fondos robados que habían quedado en la red, una intervención rara que provocó una rápida respuesta de blanqueo. Aproximadamente 175 millones de dólares en ETH fueron luego intercambiados por Bitcoin, principalmente a través de THORChain, un protocolo de liquidez entre cadenas sin requisitos de conocimiento del cliente (KYC).
THORChain procesó la gran mayoría de los ingresos tanto de la vulneración de Bybit en 2025 —el peor robo de la industria hasta la fecha, con más de 1.4 mil millones de dólares en cripto robados— como del hackeo de Kelp DAO en 2026, convirtiendo cientos de millones de ETH robados a Bitcoin sin que ningún operador estuviera dispuesto a congelar o rechazar las transferencias.
Los analistas de TRM señalaron que el grupo parece estar perfeccionando sus herramientas: los analistas han comenzado a especular que los operadores norcoreanos están incorporando herramientas de IA en sus flujos de trabajo de reconocimiento e ingeniería social, un desarrollo consistente con la creciente precisión de ataques como el de Drift, que requirió semanas de manipulación dirigida de complejos mecanismos de blockchain.
