Llegaron, hablaron y se llevaron la caja: hackers de Corea del Norte responsables del 76% de los robos de criptomonedas
La cortesía y la paciencia resultaron más eficaces que cualquier software.
Los hackers de Corea del Norte volvieron a mostrar cómo unos pocos ataques dirigidos pueden alterar las estadísticas de delitos relacionados con criptomonedas de todo un año. Según TRM Labs, entre enero y abril de 2026 los grupos vinculados a Corea del Norte representaron el 76% de todas las pérdidas por hackeos en la industria cripto, aunque se trata de solo dos incidentes graves.
Los autores del informe estiman que el perjuicio por los ataques a Drift Protocol y KelpDAO fue de aproximadamente $577 millones. El hackeo a Drift Protocol el 1 de abril dejó a los atacantes $285 millones, y el ataque al puente de KelpDAO el 18 de abril otros $292 millones. Juntos, ambos incidentes constituyeron solo una pequeña parte del total de ataques en 2026, pero dieron a Corea del Norte la mayor parte de los fondos robados.
TRM Labs escribe que la participación de Corea del Norte en los robos de criptoactivos ha aumentado durante varios años consecutivos. En 2020 y 2021 el porcentaje fue inferior al 10%; en 2022 subió al 22%; en 2023 al 37%; en 2024 al 39%; y en 2025 alcanzó el 64%. El crecimiento también fue impulsado por el hackeo a Bybit en febrero de 2025, cuando se sacaron $1,46 mil millones de una billetera fría. TRM Labs califica ese incidente como el mayor robo de criptoactivos de la historia.
El ataque a Drift Protocol destacó por una larga preparación. Según TRM Labs, los atacantes comenzaron la preparación on-chain el 11 de marzo, y antes de eso durante varios meses realizaron ingeniería social contra empleados del proyecto. El informe indica que intermediarios de Corea del Norte incluso se reunieron en persona con representantes de Drift.
Luego, los atacantes usaron el mecanismo Solana durable nonce, que permite firmar transacciones por adelantado y enviarlas después. El 1 de abril, las operaciones preparadas con antelación ayudaron a retirar fondos en aproximadamente 12 minutos. Tras un intercambio rápido y la transferencia de activos a Ethereum, la criptomoneda robada no se movió por el momento.
En el caso de KelpDAO, los atacantes golpearon el puente rsETH de LayerZero. Comprometieron dos nodos RPC internos, forzaron a que los nodos externos funcionaran con fallos mediante un ataque DDoS y lograron una confirmación falsa de un mensaje intercadena.
TRM Labs señala como debilidad clave el esquema con un único verificador que no exigía una confirmación independiente. Tras el ataque, el Arbitrum Security Council congeló parte de los fondos por un valor de alrededor de $75 millones, pero los atacantes llegaron a convertir aproximadamente $175 millones en ETH a Bitcoin, principalmente a través de THORChain.
TRM Labs vincula a KelpDAO con el grupo TraderTraitor y señala que parte de los fondos para preparar el ataque se rastrean hasta una billetera de Bitcoin de Wu Huihui, un corredor de criptomonedas chino acusado en 2023 de lavar fondos de Lazarus. La empresa considera que el volumen acumulado de criptomonedas robadas por los grupos de Corea del Norte desde 2017 ya supera los $6 mil millones.
TRM Labs advierte a los exchanges y a proyectos DeFi sobre los riesgos asociados con THORChain, los puentes y las billeteras multifirma de Solana. La empresa recomienda revisar los ingresos de abril, especialmente Bitcoin después de intercambios a través de THORChain y fondos que pasaron por direcciones vinculadas a Drift y KelpDAO.