Hackers Norcoreanos Han Robado $6.000 Millones en Criptomonedas—Incluyendo el 76% del Total de 2026: TRM

Por Decrypt Agent

Los hackers norcoreanos han robado casi tres cuartas partes de todas las criptomonedas sustraídas por cibercriminales en lo que va del año —no mediante una campaña implacable de ataques, sino a través de dos robos ejecutados con precisión contra plataformas de finanzas descentralizadas en abril, según un nuevo informe de la firma de inteligencia blockchain TRM Labs.

Los dos incidentes —una brecha de $285 millones en Drift Protocol el 1 de abril y un exploit de $292 millones en Kelp DAO el 18 de abril— representan en conjunto el 76% de todas las pérdidas por hackeos cripto registradas hasta abril, a pesar de constituir apenas el 3% del total de incidentes documentados.

En total, TRM Labs estima que los hackers vinculados a Corea del Norte han robado más de $6.000 millones de protocolos y proyectos cripto desde 2017, incluyendo algunos de los peores robos de la industria.

Las cifras reflejan una concentración cada vez mayor del robo de criptomonedas por parte de operativos norcoreanos vinculados al Estado. La participación de Pyongyang en el total de pérdidas por hackeos cripto ha crecido desde menos del 10% en 2020 y 2021, hasta el 22% en 2022, el 37% en 2023, el 39% en 2024 y el 64% en 2025. La cifra de 2026, que asciende al 76% hasta abril, es la participación sostenida más alta registrada.

El ataque a Drift Protocol fue notable por su paciencia. La preparación on-chain comenzó el 11 de marzo, y la operación involucró reuniones presenciales entre intermediarios norcoreanos y empleados de Drift durante varios meses —una táctica que los analistas de TRM describieron como potencialmente sin precedentes en la extensa campaña de hackeos cripto de Corea del Norte.

Los atacantes explotaron una función de Solana denominada nonce duradero, que permite mantener transacciones pre-firmadas y ejecutarlas en un momento posterior. El 1 de abril, 31 retiros se ejecutaron en aproximadamente 12 minutos, drenando activos reales como USDC y JLP. Los fondos robados fueron trasladados rápidamente a Ethereum y permanecen inactivos desde entonces.

El ataque a Kelp DAO siguió una ruta distinta. Los atacantes comprometieron dos nodos RPC internos y luego lanzaron un ataque de denegación de servicio contra los nodos externos, forzando al único verificador del puente a depender de fuentes de datos comprometidas. Esos nodos reportaron falsamente que el activo subyacente había sido quemado en la cadena de origen cuando no había ocurrido tal acción, y aproximadamente 116.500 rsETH —valorados en cerca de $292 millones— fueron drenados del contrato del puente de Ethereum.

Tras el robo a Kelp DAO, el Consejo de Seguridad de Arbitrum ejerció poderes de emergencia para congelar aproximadamente $75 millones de los fondos robados que habían quedado en la red —una intervención poco frecuente que provocó una respuesta acelerada de lavado de dinero. Luego, aproximadamente $175 millones en ETH fueron intercambiados por Bitcoin, en su mayoría a través de THORChain, un protocolo de liquidez cross-chain sin requisitos de verificación de identidad.

THORChain procesó la gran mayoría de los fondos provenientes tanto de la brecha de Bybit en 2025 —el mayor robo de la historia de la industria, con más de $1.400 millones en criptomonedas sustraídas— como del hackeo a Kelp DAO en 2026, convirtiendo cientos de millones en ETH robado a Bitcoin sin que ningún operador estuviera dispuesto a congelar o rechazar las transferencias.

Los analistas de TRM señalaron que el grupo parece estar perfeccionando sus herramientas: algunos especialistas han comenzado a especular que los operativos norcoreanos están incorporando herramientas de IA en sus flujos de trabajo de reconocimiento e ingeniería social, un desarrollo consistente con la creciente precisión de ataques como el de Drift, que requirió semanas de manipulación dirigida de complejos mecanismos blockchain.

Noticias recomendados