76%. No es una hipótesis. Es la proporción de pérdidas por hackeos crypto que TRM Labs atribuye a Corea del Norte en los primeros cuatro meses de 2026. Según TRM Labs, 577 millones de dólares sobre 651 millones totales, en cuatro meses.
Datos clave
- Pérdidas DPRK ene-abr 2026 $577.000.000
- Total pérdidas hack crypto (abr 2026) $651.000.000
- Cuota DPRK sobre el total 76%
- Drift Protocol (1 abr, TraderTraitor) $285.000.000
- Kelp DAO (18 abr, TraderTraitor) $292.000.000
- Abril 2026, el peor mes desde feb 2025 $651M totales
Fuente: TRM Labs, Chainalysis, Elliptic · Mayo 2026
Fuente: TRM Labs, Chainalysis, Elliptic · Mayo 2026
Dos ataques, dos protocolos completamente distintos, el mismo actor, el mismo mes. Drift Protocol: 285 millones de dólares sobre Solana el 1 de abril, operación atribuida al subgrupo TraderTraitor del Lazarus Group por Elliptic y TRM Labs. Kelp DAO: 292 millones el 18 de abril, misma unidad, vector completamente diferente (bridge LayerZero en lugar de ingeniería social sobre Solana). Corea del Norte no estaba improvisando: trabajaba en múltiples frentes en paralelo.
Security Incident Report
- Protocolo Drift Protocol (Solana)
- Monto sustraído $285.000.000
- Fecha 1 de abril de 2026
- Vector Infiltración a largo plazo: creación del CarbonVote Token (CVT) el 11 de marzo, wash trading sistemático, luego exploit de los vaults de Drift en 12 minutos. Fondos transferidos via Circle CCTP de Solana a Ethereum en 6 horas durante horario laboral de EE.UU.
- Atribución Lazarus Group / TraderTraitor (Elliptic, TRM Labs). Marcas de tiempo compatibles con horario de Pyongyang. Prefinanciamiento desde Tornado Cash por 10 ETH.
Fuente: Elliptic, TRM Labs, ZachXBT · Abril 2026
Fuente: Elliptic, TRM Labs, ZachXBT · Abril 2026
Security Incident Report
- Protocolo Kelp DAO (rsETH/LayerZero)
- Monto sustraído $292.000.000
- Fecha 18-19 de abril de 2026
- Vector Compromiso RPC del DVN de LayerZero más DDoS sobre los nodos no comprometidos. Drenaje de 116.500 rsETH. Aave V3 afectada por deuda incobrable generada con rsETH usados como colateral.
- Atribución Lazarus Group / TraderTraitor (post-mortem oficial de LayerZero, 20 de abril de 2026). Aproximadamente 175 millones de dólares lavados via THORChain en 36 horas.
Fuente: LayerZero Labs, Chainalysis, ZachXBT · Abril 2026
Fuente: LayerZero Labs, Chainalysis, ZachXBT · Abril 2026
Para el análisis completo del exploit Kelp DAO y del caso Drift Protocol, y para entender cómo terminó la crisis de Aave tras el exploit, consulta nuestro análisis sobre Aave y la recuperación del 95% de los rsETH.
¿Cómo roba criptomonedas Corea del Norte?
El modelo ha evolucionado. Ya no hablamos de un hacker en una habitación buscando vulnerabilidades en contratos. La estructura norcoreana, identificada por Chainalysis, TRM Labs y los investigadores del FBI como TraderTraitor, opera como una empresa. Recluta desarrolladores a través de campañas de ofertas de trabajo falsas (las operaciones GhostHire documentadas por Cisco Talos). Los infiltra como contratistas en empresas crypto, donde trabajan durante meses como empleados normales. Después, en el momento elegido, usan el acceso interno para comprometer claves, modificar configuraciones o vaciar wallets.
#PeckShieldAlert @THORChain has been exploited for ~$10M worth of crypto, including 36.75 $BTC ($3M) and ~$7M worth of assets from #BNBChain, #Ethereum, and #Base.
, PeckShieldAlert (@PeckShieldAlert) May 15, 2026
The stolen funds mainly sit in:
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37… pic.twitter.com/mhWIWueVPK
El caso Drift es el más documentado. Los atacantes habían creado cuentas de desarrollador en Solana el 23 de marzo, tres semanas antes del ataque. Ejecutaron wash trading para hacer creíble el CarbonVote Token. Esperaron. El 1 de abril, en 12 minutos, vaciaron los vaults. Luego usaron Circle CCTP, el protocolo cross-chain de USDC, para mover 232 millones de dólares de Solana a Ethereum en 6 horas, durante el horario laboral de EE.UU. Circle no intervino. El papel del Lazarus Group en el exploit de Kelp siguió la misma lógica de planificación a largo plazo.
La inteligencia artificial está entrando en el proceso. Las campañas GhostCall y GhostHire documentadas por Cisco Talos usan voz clonada y deepfakes para suplantar directivos Web3 en videollamadas de selección, aumentando la tasa de infiltración exitosa. No es todavía el modelo “IA ataca smart contracts” del benchmark EVMbench, pero sí su precursor: la IA como herramienta de preparación y cobertura, antes del exploit.
TRM Labs aún no ha atribuido el exploit de THORChain del 15 de mayo a Corea del Norte. Sin embargo, si emergiera la participación de TraderTraitor también en esa operación de 10,8 millones de dólares, las pérdidas DPRK de 2026 alcanzarían los 588 millones antes de mitad de año. La respuesta regulatoria europea se ha centrado en Rusia, pero el expediente norcoreano sigue siendo el problema de seguridad más concreto y menos atendido del sector. La OFAC ya sancionó a decenas de facilitadores norcoreanos en 2026, el último ciclo en marzo. No ha sido suficiente. La comunidad THORChain vota su propia solución antes del 22-23 de mayo: si la atribución cambia, también aumentará la presión sobre el sector para dotarse de mecanismos de rastreo de transacciones que hoy el 99% de los bridges y protocolos cross-chain no tienen. Sigue todas las novedades en la sección Hack de SpazioCrypto.
