El exploit de 285 millones de dólares de este mes en Drift, un DEX (Exchange descentralizado), fue el mayor hackeo de criptomonedas en más de un año, cuando el exchange Bybit perdió 1.400 millones de dólares. Los hackers respaldados por el estado de Corea del Norte fueron señalados como los principales sospechosos en ambos ataques.
El otoño pasado, los atacantes se hicieron pasar por una firma de trading cuantitativo y se acercaron al equipo del protocolo de Drift en persona en una importante conferencia de criptomonedas, dijo Drift en una publicación de X el domingo.
"Ahora se entiende que esto parece ser un enfoque dirigido, donde individuos de este grupo continuaron buscando deliberadamente e interactuando con colaboradores específicos de Drift, en persona, en múltiples conferencias importantes de la industria en varios países durante los siguientes seis meses", dijo el DEX.
Hasta ahora, los espías cibernéticos de Corea del Norte han atacado a empresas de criptomonedas en línea, a través de llamadas virtuales y trabajo remoto. Un enfoque en persona en una conferencia normalmente no levantaría sospechas, pero el exploit de Drift debería ser suficiente para que los asistentes revisen las conexiones realizadas en eventos recientes.
El hackeo redujo el TVL de Drift en más de la mitad en aproximadamente 12 minutos. Fuente: DefiLlama
Corea del Norte expande su manual de criptomonedas más allá de los hackeos
La firma forense de blockchain TRM Labs describió el incidente como el mayor hackeo DeFi de 2026 (hasta ahora) y el segundo exploit más grande en la historia de Solana, justo después del hackeo del puente Wormhole de 326 millones de dólares en 2022.
El contacto inicial se remonta a aproximadamente seis meses atrás, pero el exploit en sí se remonta a mediados de marzo, según TRM. El atacante comenzó moviendo fondos desde Tornado Cash y desplegando el CarbonVote Token (CVT), mientras usaba ingeniería social para persuadir a los firmantes multisig a aprobar transacciones que otorgaban permisos elevados.
Luego fabricaron credibilidad para CVT al acuñar un gran suministro e inflar la actividad de trading para simular demanda real. Los oráculos de Drift captaron la señal y trataron el token como un activo legítimo.
Cuando se ejecutaron las transacciones preaprobadas el 1 de abril, CVT fue aceptado como colateral, se aumentaron los límites de retiro y se retiraron fondos en activos reales, incluido USDC.
TRM describe los fondos que se mueven desde Tornado Cash en marzo utilizados para preparar el exploit de Drift. Fuente: TRM Labs
Relacionado: Espía de Corea del Norte comete un error y revela vínculos en una entrevista de trabajo falsa
Según TRM, la velocidad y agresividad del lavado posterior superó la observada en el hackeo de Bybit.
Se cree ampliamente que Corea del Norte está utilizando robos de criptomonedas a gran escala como los ataques de Drift y Bybit junto con tácticas a largo plazo, incluida la colocación de operativos en roles remotos en empresas tecnológicas y de criptomonedas para generar ingresos constantes. El Consejo de Seguridad de las Naciones Unidas ha dicho que dichos fondos se utilizan para apoyar el programa de armas del país.
La investigadora de seguridad Taylor Monahan dijo que la infiltración de protocolos DeFi se remonta al "verano DeFi", agregando que alrededor de 40 protocolos han tenido contacto con presuntos operativos de la RPDC.
Los medios estatales de Corea del Norte informaron el jueves que el país probó un arma electromagnética y un misil balístico de corto alcance, conocido como Hwasong-11, equipado con ojivas de municiones de racimo.
Dimensiones estimadas para el KN-23, también conocido como Hwasong-11A. Fuente: Christian Maire, FRS
Red de infiltración alimenta ingresos constantes de criptomonedas
Una investigación separada reveló cómo una red de trabajadores de TI vinculados a Corea del Norte generó millones a través de una infiltración prolongada.
Los datos obtenidos de una fuente anónima compartida por ZachXBT mostraron que la red se hacía pasar por desarrolladores y se integraba en empresas de criptomonedas y tecnología, generando aproximadamente 1 millón de dólares al mes y más de 3,5 millones de dólares desde noviembre.
El grupo aseguró trabajos utilizando identidades falsificadas, encaminó pagos a través de un sistema compartido, luego convirtió fondos a fiat y los envió a cuentas bancarias chinas a través de plataformas como Payoneer.
El rastreo de billeteras vinculó parte del flujo a direcciones vinculadas a la actividad conocida de la RPDC, dijo el detective de blockchain. Fuente: ZachXBT
Relacionado: ¿Eres freelancer? Los espías de Corea del Norte podrían estar usándote
La operación dependía de infraestructura básica, incluido un sitio web compartido con una contraseña común y tablas de clasificación internas que rastreaban las ganancias.
Los agentes solicitaron roles a plena vista utilizando VPN y documentos fabricados, apuntando a una estrategia a largo plazo de integrar operativos para extraer ingresos constantes.
Las defensas evolucionan a medida que se propagan las tácticas de infiltración
Cointelegraph encontró un esquema similar en una investigación de 2025 dirigida por Heiner García, quien pasó meses en contacto con un presunto operativo.
Cointelegraph posteriormente participó en la entrevista ficticia de García con un sospechoso que se hacía llamar "Motoki", quien afirmaba ser japonés. El sospechoso abandonó la llamada con enojo después de no poder presentarse en su supuesto dialecto nativo.
La investigación encontró que los operativos evadían las restricciones geográficas utilizando acceso remoto a dispositivos ubicados físicamente en países como Estados Unidos. En lugar de VPN, operaban esas máquinas directamente, haciendo que su actividad pareciera local.
Para ahora, los cazatalentos tecnológicos se han dado cuenta de que la persona al otro lado de una entrevista de trabajo virtual puede ser efectivamente un espía cibernético de Corea del Norte. Una estrategia de defensa viral es pedir a los sospechosos que insulten a Kim Jong Un. Hasta ahora, la táctica ha sido efectiva.
Un presunto trabajador de TI de Corea del Norte se congela cuando se le pide que llame a Kim Jong Un un "cerdo gordo y feo". Fuente: Tanuki42
Sin embargo, como Drift fue abordado en persona y los hallazgos de García mostraron que los operativos encontraban métodos creativos para evadir las restricciones geográficas, los actores de Corea del Norte han seguido adaptándose a la dinámica del gato y el ratón.
Solicitar a los entrevistados que llamen al líder supremo de Corea del Norte un "cerdo gordo" es una estrategia efectiva por el momento, pero los investigadores de seguridad advierten que esto no funcionará para siempre.
Magazine: Cheques fantasma de Bitcoin, China rastrea impuestos en blockchain: Asia Express
- #Cryptocurrencies
- #Cybercrime
- #North Korea
- #DeFi
- #Features
- #Industry
