Corea del Norte acaba de robar 577 millones de dólares de criptomonedas con dos ataques, así es como
En abril de 2026, dos hackeos por valor de 577 millones de dólares representaron el 76% de todos los robos de criptomonedas de este año. Ambos fueron obra del Grupo Lazarus de Corea del Norte.
Tampoco fue una explotación de contrato inteligente. Los atacantes pasaron seis meses haciéndose pasar por una empresa comercial, asistiendo personalmente a conferencias sobre criptografía y estableciendo relaciones reales con ingenieros de Drift Protocol antes de extraer las firmas que necesitaban para drenar 285 millones de dólares en doce minutos.
El otro ataque drenó 292 millones de dólares de un único nodo puente vulnerable. Esto ya no es un problema de seguridad criptográfica. Es una operación de inteligencia patrocinada por el Estado, dirigida por un país que utiliza las ganancias para financiar su programa de armas. Y la industria apenas está empezando a admitirlo.
Doce minutos en abril
A las 16:06:09 UTC del 1 de abril de 2026, un atacante vació las principales bóvedas de Drift Protocol, el mayor intercambio de futuros perpetuo descentralizado en Solana, de aproximadamente 285 millones de dólares en activos de usuario. El primer retiro movió 41,72 millones de tokens JLP. El último movió 2200 $ETH envueltos. Toda la tesorería se vació en doce minutos, aproximadamente el tiempo que lleva escribir un largo mensaje de texto.
La primera declaración pública del equipo, publicada en X a las pocas horas, pedía a la comunidad que confirmara que la actividad inusual que estaban viendo no era una broma del Día de los Inocentes. No lo fue. Fue la culminación de seis meses de preparación metódica por parte de agentes que trabajaban para el gobierno de Corea del Norte.
JUSTO EN: Drift Protocol anuncia que todas las billeteras afectadas por el exploit del 1 de abril recibirán tokens de recuperación, cada uno de los cuales representa una pérdida verificada y un reclamo de grupo de recuperación proporcional pic.twitter.com/DRv4A61nBu
- crypto.news (@cryptodotnews) 5 de mayo de 2026
Diecisiete días después, el 18 de abril, los atacantes drenaron 292 millones de dólares de KelpDAO, un protocolo de recuperación, manipulando una configuración de un solo verificador en su puente LayerZero. Los dos ataques combinados representaron aproximadamente el 95 por ciento de los 625 millones de dólares en robo de criptomonedas de abril, lo que convirtió a abril de 2026 en el peor mes para la seguridad de las criptomonedas en la historia. Los robos en lo que va del año hasta abril superaron los mil millones de dólares. TRM Labs atribuyó el 76 por ciento del total de 2026 a dos ataques. Ambos fueron obra del mismo actor de amenazas.
NUEVO: KelpDAO mueve $rsETH a Chainlink CCIP citando la infraestructura LayerZero como la fuente de explotación DeFi de más de $300 millones de abril pic.twitter.com/6pjFShk30N
- crypto.news (@cryptodotnews) 6 de mayo de 2026
Ese actor amenazante es el Grupo Lazarus, el nombre general que utilizan las agencias de inteligencia occidentales para las operaciones de piratería informática patrocinadas por el Estado y llevadas a cabo desde la Oficina General de Reconocimiento, la principal agencia de inteligencia de Corea del Norte. Desde 2017, Lazarus y sus subunidades han robado más de 6 mil millones de dólares en criptomonedas.
Según las cifras de Chainalysis, 2.060 millones de dólares de esa cantidad fueron robados solo en 2025, impulsado principalmente por el catastrófico hackeo de Bybit de 1.500 millones de dólares en febrero de ese año, el mayor robo de criptomonedas de la historia. El ritmo de 2026 pone al grupo en camino de superar cómodamente el total de 2025.
Esta no es una historia de seguridad criptográfica en ningún sentido convencional. Las amenazas que enfrentan los protocolos DeFi hoy en día no son las amenazas contra las que fueron diseñados para defenderse. La preocupación de la era 2020 eran los errores de los contratos inteligentes y las vulnerabilidades en el código. La realidad de 2026 son operaciones sostenidas, en varios países y durante varios meses, dirigidas por profesionales de inteligencia que no necesitan explotar el código porque ya tienen las claves. Sólo tenían que convencer a alguien para que los entregara.
Eso fue el ataque de Drift. Y comprenderlo es la educación sobre seguridad más importante que cualquier poseedor, constructor o ejecutivo de criptomonedas puede recibir en este momento.
La operación Drift, paso a paso
La propia autopsia de Drift Protocol, publicada a principios de abril, se parece más a un informe de contrainteligencia que a una divulgación de seguridad. Comienza en octubre de 2025.
En una importante conferencia sobre criptografía, un grupo de personas que se presentaron como representantes de una empresa de comercio cuantitativo se acercaron a los contribuyentes de Drift. Habían verificado antecedentes profesionales, demostrado fluidez técnica y formulado exactamente el tipo de preguntas que haría una verdadera empresa comercial institucional sobre la integración con un protocolo perpetuo. Los contribuyentes a Drift, que se ocupan de este tipo de solicitudes de forma rutinaria, las trataron como a cualquier otro socio institucional potencial.
Desde entonces, Drift ha aclarado que las personas en esas reuniones en persona no eran ciudadanos norcoreanos. Las operaciones de Lazarus casi siempre utilizan intermediarios externos para el contacto cara a cara, y los operadores técnicos reales permanecen dentro de Corea del Norte o China. El investigador de blockchain ZachXBT, que ha estado rastreando las operaciones criptográficas de la RPDC durante años, ha observado que esta estructura de identidad en capas es una de las características definitorias de las campañas de Lazarus.
El grupo no se detuvo después de la primera conferencia. Durante seis meses, los mismos agentes, u agentes que presentaban las mismas identidades, aparecieron en múltiples eventos de la industria global, profundizando las relaciones con contribuyentes específicos de Drift. Se creó un grupo de Telegram