Expertos dicen que los trabajadores de TI norcoreanos ayudaron a construir los principales protocolos durante el verano de DeFi

La investigadora de ciberseguridad Taylor Monahan ha afirmado que trabajadores de TI vinculados a Corea del Norte han estado operando dentro del ecosistema de las finanzas descentralizadas durante años. Monahan señaló que estos actores han contribuido a muchos protocolos muy conocidos durante la era del “verano DeFi” de 2020.

Según su último tuit, los años de experiencia en desarrollo de blockchain que aparecen en sus currículos a menudo eran reales, lo que indicaba contribuciones técnicas genuinas en lugar de credenciales inventadas.

Years of DeFi Infiltration

Cuando se le pidió que diera ejemplos, señaló varios proyectos destacados, incluidos SushiSwap, THORChain, Yearn, Harmony, Ankr y Shiba Inu, entre muchos otros. Monahan también reveló que algunos equipos, como Yearn, se destacaron por su enfoque estricto en materia de seguridad, apoyándose en gran medida en la revisión por pares y manteniendo un alto nivel de escepticismo hacia los colaboradores.

Esto, insinuó, ayudó a limitar la posible exposición en comparación con otros proyectos. Además, Monahan advirtió que las tácticas han evolucionado y que ahora estos grupos podrían estar usando personas que no son de Corea del Norte para llevar a cabo partes de sus operaciones, incluidas interacciones en persona. Según los cálculos de la experta en seguridad, estas entidades podrían haber extraído en conjunto al menos $6.7 mil millones del espacio cripto durante este período.

Corea del Norte ha seguido dominando el cibercrimen relacionado con las criptomonedas, emergiendo como la mayor amenaza respaldada por el Estado en el sector. Según un informe anterior de Chainalysis, los hackers de DPRK robaron al menos $2.02 mil millones en activos digitales solo en 2025, lo que supone un aumento del 51% frente a 2024 y representa el 76% de todas las brechas relacionadas con servicios.

Si bien hubo menos ataques, la escala fue significativamente mayor. Chainalysis atribuyó esta escala al uso por parte de los grupos respaldados por el Estado de trabajadores de TI infiltrados que obtienen acceso a firmas cripto, incluidas exchanges y custodios, antes de que se produzcan los principales exploits.

Una vez robados los fondos, estos actores normalmente mueven activos en transacciones más pequeñas, y más del 60% de las transferencias son por debajo de $500,000. Sus métodos de blanqueo dependen en gran medida de herramientas entre cadenas, servicios de mezcla y redes financieras en idioma chino.

Es posible que también te guste:

			*   			
				Informe: los hacks cripto subieron 96% en marzo, ya que las pérdidas alcanzaron $52M			
		
				*   			
				ZachXBT acusa a Circle de estar “dormida” mientras los fondos del hack de Drift se movían libremente			
		
				*   			
				El experto advierte de un ataque crítico y continuo a la cadena de suministro contra Axios			

Security Alliance (SEAL) había determinado previamente que estos grupos ejecutaban ciberataques mediante llamadas falsas de Zoom o Microsoft Teams para infectar a las víctimas con malware. Estas operaciones a menudo comienzan a través de cuentas de Telegram comprometidas, donde los atacantes se hacen pasar por contactos conocidos e invitan a los objetivos a unirse a una videollamada.

Durante la reunión, se utilizan videos pregrabados para parecer legítimos antes de que se le indique a las víctimas que instalen una supuesta actualización, que en realidad otorga a los atacantes acceso a sus dispositivos. Una vez dentro, estos actores roban datos sensibles y reutilizan cuentas secuestradas para extender el ataque aún más.

Ampliar la superficie de ataque

También se sospechaba que los hackers vinculados a Corea del Norte estaban detrás de la brecha del 1 de marzo de Bitrefill. Según se informó, los atacantes lograron entrar a través del dispositivo de un empleado comprometido y consiguieron extraer credenciales que permitieron un acceso más profundo a los sistemas internos.

Desde allí, se movieron a partes de la base de datos y drenaron fondos de billeteras calientes, mientras también explotaban flujos de suministro de tarjetas regalo. Indicadores como patrones de malware, comportamiento on-chain e infraestructura reutilizada coincidían con operaciones previas vinculadas a los grupos Lazarus y Bluenoroff.

OFERTA ESPECIAL (Exclusiva)

Binance Gratis $600 (CryptoPotato Exclusive): Usa este enlace para registrarte en una nueva cuenta y recibir una oferta de bienvenida exclusiva de $600 en Binance (detalles completos).

OFERTA LIMITADA para lectores de CryptoPotato en Bybit: Usa este enlace para registrarte y abrir una posición GRATIS de $500 en cualquier moneda.

Etiquetas:

										DeFi											
										

																					
											
										Hacks											
										

																					
											
										North Korea