Corea del Norte robó $577M en hackeos de criptomonedas hasta abril de 2026: TRM Labs

Los actores norcoreanos extrajeron aproximadamente 577 millones de dólares durante los primeros cuatro meses de 2026, lo que representa el 76% de todas las pérdidas globales por hackeos de criptomonedas durante el periodo, según la firma de inteligencia blockchain TRM Labs. El robo estuvo impulsado por dos grandes incidentes de abril: el exploit de KelpDAO por 292 millones de dólares y el ataque de 285 millones de dólares contra Drift Protocol, que juntos representaron solo el 3% del total de incidentes de hackeo en 2026 hasta abril.

Detalles de los ataques de abril

El ataque a Drift Protocol se atribuyó a un subgrupo norcoreano separado de TraderTraitor, la operación documentada de forma exhaustiva vinculada a Lazarus, aunque la atribución específica aún está en investigación. TRM dijo que el ataque implicó meses de reuniones presenciales entre proxies norcoreanos y empleados de Drift. La preparación comenzó tan pronto como el 11 de marzo, cuando el atacante creó cuentas con nonce durable en Solana e indujo a los firmantes del multisig del Security Council de Drift a preautorizar transacciones. El 1 de abril, días después de que Drift migrara su Security Council a una nueva configuración de umbral 2/5 con cero timelock, el atacante desplegó 31 retiros prefirmados para drenar fondos en una fase de ejecución rápida que duró aproximadamente 12 minutos. Los fondos luego se puentean a Ethereum, donde desde entonces han permanecido en gran medida inactivos.

La brecha de KelpDAO se atribuyó a TraderTraitor. El ataque aprovechó un diseño de verificador único en un puente LayerZero, comprometiendo la infraestructura RPC y manipulando la lógica de validación entre cadenas. Los atacantes extrajeron aproximadamente 116.500 rsETH tras forzar que la verificación fallara y cayera en nodos comprometidos, con un posterior blanqueo canalizado a través de infraestructura entre cadenas, incluido THORChain, tras congelamientos parciales de activos en Arbitrum.

Aceleración histórica del robo

TRM informó que la cuota de Corea del Norte en las pérdidas globales por hackeos cripto ha “acelerado” en lugar de estabilizarse. La participación subió de menos del 10% en 2020 y 2021 a 22% en 2022, 37% en 2023, 39% en 2024 y 64% en 2025. El robo atribuido acumulado ahora supera los 6 mil millones de dólares desde 2017.

TRM señaló la brecha de Bybit por 1,46 mil millones de dólares en 2025 como un punto de inflexión clave en el perfil reciente de actividad de Corea del Norte. Desde entonces, el ritmo operativo se ha mantenido constante, con grupos élite priorizando menos, pero ataques de mayor impacto, dirigidos a puentes, sistemas de gobernanza multisig y a infraestructura entre cadenas.

Enfoques divergentes de blanqueo

Los incidentes de Drift y KelpDAO resaltan diferentes estrategias de lavado de dinero. El grupo asociado con Drift dejó los activos en gran medida inactivos después del puente inicial a Ethereum y probablemente “mantendrá los fondos obtenidos durante meses o años, y luego ejecutará una extracción estructurada y en fases múltiples”, según TRM.

Los atacantes de KelpDAO movieron los fondos con más rapidez mediante swaps entre cadenas hacia Bitcoin vía THORChain, con la fase de blanqueo en curso gestionada en gran parte por intermediarios chinos en lugar de por los norcoreanos por sí mismos.

Prioridades de monitoreo de cumplimiento

TRM detalló prioridades de monitoreo de cumplimiento, incluyendo flujos vinculados a THORChain desde entornos de puente comprometidos, trazado de transacciones de múltiples saltos a través de infraestructura de puentes y el filtrado de rutas de depósitos relacionadas con la gobernanza de Solana que implican transacciones con nonce durable. La firma también destacó la participación de Beacon Network en exchanges y protocolos DeFi como un mecanismo para acelerar alertas entre plataformas una vez que se identifiquen direcciones vinculadas a Corea del Norte.