El bombardeo de DeFi de Corea del Norte por 577 millones de dólares: Drift y Kelp hackeados en 18 días

Hackers afiliados al estado de Corea del Norte han ejecutado dos de las mayores vulneraciones de finanzas descentralizadas en la historia en un solo mes, drenando un total combinado de más de $577 millones de Drift Protocol y Kelp DAO. Empresas de análisis de blockchain, proveedores de infraestructura cross-chain e investigadores de seguridad independientes han atribuido ambos ataques —con diversos grados de confianza— a unidades de hacking que operan bajo el aparato estatal norcoreano, marcando lo que los analistas describen como una campaña coordinada y en escalada contra la infraestructura DeFi.

El exploit del protocolo Drift: una infiltración de seis meses

El 1 de abril de 2026, los atacantes drenaron aproximadamente $285 millones de Drift Protocol —el mayor exchange descentralizado de futuros perpetuos en Solana— en lo que se convirtió en el mayor hackeo DeFi del año hasta ese momento y la segunda mayor vulneración en la historia de Solana, solo por detrás del hackeo del puente Wormhole de $326 millones en 2022. El post-mortem de Drift describió el ataque como algo "gestado durante seis meses", atribuyéndolo con una confianza media a UNC4736, un actor de amenazas patrocinado por el estado de Corea del Norte también rastreado como AppleJeus, Citrine Sleet y Gleaming Pisces —un grupo con un historial documentado de ataques al sector de las criptomonedas desde al menos 2018. El vector de ataque no fue un error de contrato inteligente. En su lugar, combinó ingeniería social, manipulación de gobernanza y un token falso diseñado a medida:

• Entre diciembre de 2025 y enero de 2026, operativos que se hacían pasar por una firma de trading cuantitativo se incorporaron a un Ecosystem Vault en Drift, presentaron documentación de estrategia y depositaron más de $1 millón de su propio capital para generar credibilidad.
• El atacante fabricó un token ficticio llamado CarbonVote (CVT), inyectado con liquidez mínima y volumen de trading falso, para luego manipular los oráculos de Drift y que lo trataran como colateral válido.
• Entre el 23 y el 30 de marzo, el atacante obtuvo aprobaciones multisig 2-de-5 de los miembros del Consejo de Seguridad de Drift engañándolos para que firmaran previamente transacciones maliciosas utilizando la función de nonce duradero de Solana, lo que permitió que las autorizaciones permanecieran latentes hasta el día de la ejecución.
• Al activarse el 1 de abril, las bóvedas fueron vaciadas en aproximadamente 12 minutos, y la mayoría de los fondos robados fueron transferidos a Ethereum mediante puentes en cuestión de horas.
• El token DRIFT cayó más del 40% tras la vulneración, y el valor total bloqueado del protocolo colapsó de aproximadamente $550 millones a menos de $250 millones. Una docena de protocolos de Solana con dependencias en Drift pausaron sus operaciones.

El exploit de Kelp DAO: envenenamiento de infraestructura a escala

El 18 de abril, Kelp DAO —un protocolo de restaking líquido que encamina el ETH de los usuarios a través de EigenLayer— fue víctima de una vulneración de $292 millones, confirmada como obra del grupo Lazarus, respaldado por el estado de Corea del Norte, específicamente su subunidad TraderTraitor. Esto superó a Drift para convertirse en la mayor vulneración individual de DeFi de 2026. Los atacantes comprometieron dos nodos RPC en los que confiaba el verificador de LayerZero para confirmar transacciones cross-chain, reemplazando el software de los nodos con versiones maliciosas que reportaban datos falsos. Luego lanzaron un ataque de denegación de servicio distribuido contra los nodos honestos restantes, forzando una transferencia de fallos (failover) a los puntos finales comprometidos, engañando al verificador de LayerZero para que aprobara una transacción cross-chain fraudulenta y liberara 116,500 rsETH a los atacantes. LayerZero atribuyó la brecha en parte a la propia configuración de seguridad de Kelp: el protocolo operaba con una configuración de verificador 1-de-1, lo que significaba que LayerZero Labs era la única entidad que verificaba los mensajes hacia y desde el puente rsETH —una configuración sobre la cual LayerZero afirma haber advertido previamente. El contagio se extendió rápidamente por el sector DeFi:

• La vulneración del 18 de abril provocó una salida de $10,000 millones de Aave ante la preocupación por posibles deudas incobrables.
• El valor total bloqueado en todo el ecosistema DeFi cayó aproximadamente un 7% en las 24 horas posteriores al ataque, disminuyendo de unos $99.5 mil millones a $86.3 mil millones.
• Varios equipos de DeFi, incluidos Ethena, ether.fi, Tron DAO y Curve Finance, pausaron sus puentes de tokens fungibles omnichain de LayerZero en respuesta.

Una amenaza cambiante y creciente

La misma unidad norcoreana ha drenado ahora más de $577 millones de DeFi en 18 días a través de dos vectores de ataque estructuralmente diferentes: ingeniería social a los firmantes de gobernanza en Drift, y envenenamiento de nodos RPC de infraestructura en Kelp. Los analistas señalan que la vulneración de Kelp indica que el Lazarus Group de Corea del Norte está evolucionando más allá de hackeos aislados, cambiando rápidamente sus tácticas desde la ingeniería social hacia la explotación de debilidades estructurales en la infraestructura cripto —lo que sugiere una campaña sostenida impulsada por el estado en lugar de incidentes puntuales. Si la atribución a la RPDC se mantiene en ambos incidentes, esto elevaría el total confirmado de robo de criptomonedas del régimen para 2026 por encima de los $600 millones, fondos que el gobierno de EE. UU. ha vinculado previamente a los programas de armamento de Pyongyang. Desde entonces, LayerZero ha anunciado que ya no firmará mensajes para ningún proyecto que opere con una configuración de verificador 1-de-1 y está acelerando las migraciones a configuraciones multi-DVN. Los investigadores de seguridad y desarrolladores de protocolos instan a la industria DeFi en general a tratar los bloqueos de tiempo de gobernanza (timelocks), la defensa en profundidad de oráculos y la redundancia de verificación cross-chain como requisitos base no negociables, y no como configuraciones opcionales.

Publicado por Coinplurk.com