Corea del Norte ya se ha convertido en la mayor pesadilla del mundo de las criptomonedas. Recientemente, al ver el informe de TRM Labs, los datos me hicieron sentir un poco escalofríos—solo en los primeros 4 meses de este año, los hackers norcoreanos han saqueado aproximadamente 577 millones de dólares, representando el 76% del total de fondos robados a nivel mundial en ese período. Esa proporción es realmente sorprendente.

Las pérdidas provienen principalmente de dos grandes incidentes en abril. Kelp DAO fue vaciado por 292 millones de dólares, mientras que Drift Protocol fue robado por 285 millones de dólares. Lo interesante es que estos dos casos solo representan el 3% del total de ataques en los primeros 4 meses del año, pero concentraron la gran mayoría de las pérdidas. Esto indica que los hackers norcoreanos ya han pasado de "disparar a ciegas" a realizar ataques de precisión.

El caso de Kelp DAO fue llevado a cabo por el infame TraderTraitor, que tiene estrechos vínculos con el grupo LassaRUS. Por otro lado, Drift fue realizado por otro grupo de hackers norcoreanos que aún no ha sido completamente revelado.

Hablando del ataque a Drift, creo que lo más aterrador es que no fue un simple asalto. TRM reveló que fue una operación de infiltración meticulosa que duró varios meses. Los agentes norcoreanos contactaron varias veces con el equipo de Drift en encuentros presenciales, comenzando desde el 11 de marzo, para desplegar preparativos, establecer cuentas nonce persistentes en Solana para firmar transacciones por adelantado, e incluso inducir a los miembros de la autoridad de seguridad de Drift a preautorizar. El golpe mortal ocurrió el 1 de abril, justo después de que Drift ajustó los umbrales de permisos del comité de seguridad y eliminó los temporizadores de bloqueo en unos pocos días. Los hackers activaron 31 instrucciones de retiro prefirmadas en solo 12 minutos, vaciando directamente los fondos. Esta combinación de ingeniería social y manipulación técnica es imparable.

La situación de Kelp DAO fue otra estrategia diferente. Los hackers aprovecharon una vulnerabilidad en la estructura de "único verificador" en el puente de LayerZero, un protocolo de comunicación entre cadenas, infiltrándose en la infraestructura RPC y alterando la lógica de verificación. Tras forzar al sistema a transferir los permisos de verificación a nodos controlados, más de 116,000 rsETH fueron robados. Aunque la oficina de Arbitrum congeló de emergencia algunos activos, los hackers rápidamente usaron protocolos de liquidez entre cadenas como THORChain para transferir los fondos.

Lo que resulta aún más inquietante es la tendencia. La proporción de criptomonedas robadas por hackers norcoreanos en relación con el total global está en aumento—menos del 10% en 2020 y 2021, subiendo a 22% en 2022, 37% en 2023, 39% en 2024, y alcanzando un récord del 64% en 2025. Este año, incluso alcanzó un máximo histórico del 76%. Desde 2017, los hackers norcoreanos han robado en total más de 6 mil millones de dólares en criptomonedas.

TRM señala que el gran caso de 1.460 millones de dólares en 2025 en un gran exchange fue un punto de inflexión en el modus operandi de los hackers norcoreanos. Después de eso, cambiaron de táctica: dejaron de disparar a ciegas y comenzaron a enfocarse en objetivos de alto valor, atacando específicamente puentes entre cadenas, sistemas de gobernanza multisig y otras infraestructuras críticas, buscando eliminar a la primera.

Curiosamente, los casos de Drift y Kelp DAO también reflejan la diversificación en las técnicas de lavado de dinero de Corea del Norte. Los hackers de Drift son muy pacientes; tras transferir fondos a Ethereum, permanecen inactivos, posiblemente planeando "guardar" los fondos durante meses o incluso años, para venderlos cuando pase la tormenta. En cambio, los hackers de Kelp DAO prefieren una estrategia rápida: intercambian rápidamente en THORChain por Bitcoin y luego entregan los fondos a intermediarios de lavado de dinero en la clandestinidad.

Frente a esta amenaza cada vez más rampante, TRM insta a las plataformas a mejorar inmediatamente sus controles de cumplimiento. Las medidas de defensa clave incluyen monitorear estrictamente los fondos transferidos a través de THORChain, fortalecer el seguimiento de transacciones en los puentes entre cadenas, y examinar rigurosamente las rutas de depósito relacionadas con la gobernanza en Solana, especialmente aquellas que involucran mecanismos de nonce persistentes. Además, la industria debería unirse activamente a mecanismos de defensa cruzada como Beacon Network, que permite activar alertas conjuntas en múltiples plataformas en cuanto se detecte una wallet de los hackers norcoreanos, cortando de raíz el flujo de lavado de dinero. La guerra de defensa y ataque aún no termina, y la pesadilla en el mundo de las criptomonedas continúa.