Corea del Norte vinculada a robos por valor de 578 millones de dólares en abril tras la explotación de Kelp DAO

El robo de criptomonedas vinculado a la RPDC superó los 578 millones de dólares en abril tras la explotación de Kelp DAO, a medida que los ataques continúan expandiéndose a través de protocolos, empresas y usuarios finales. Kelp DAO sufrió un hackeo de 292 millones de dólares el sábado, superando a Drift como la mayor explotación cripto del año hasta ahora. Se sospecha que hackers vinculados a Corea del Norte están detrás del ataque.

Kelp DAO declaró el lunes que la explotación se originó por un fallo en la infraestructura del protocolo de mensajería cross-chain LayerZero. LayerZero afirmó que la brecha fue posible debido a que Kelp DAO utilizaba una configuración de un solo validador para aprobar mensajes cross-chain. La empresa también indicó que "indicadores preliminares" atribuían la explotación a TraderTraitor, un subgrupo de la unidad de hackers respaldada por el estado norcoreano conocida como Lazarus Group.

Los hallazgos del investigador de blockchain Tanuki42 también encontraron vínculos con TraderTraitor. Tanuki42 declaró el martes que los fondos robados en el incidente de Kelp DAO se han mezclado con explotaciones anteriores vinculadas al mismo grupo. Mientras la actividad cibernética de Corea del Norte dirigida a plataformas de finanzas descentralizadas (DeFi) se aceleró en abril, sus tácticas también representan una amenaza para empresas y usuarios finales.

La explotación del Día de los Inocentes en el exchange descentralizado Drift ascendió a 285 millones de dólares, llevando el robo de criptomonedas sospechoso de estar vinculado a Corea del Norte a al menos 578 millones en incidentes importantes durante el mes. Estos dos ataques son los mayores robos cripto atribuidos a actores norcoreanos desde el hackeo de Bybit. La industria ya sabe que operativos vinculados a la RPDC se hacen pasar por desarrolladores de TI para conseguir trabajos remotos en empresas tecnológicas.

Investigadores de seguridad y las Naciones Unidas afirman que esta táctica genera millones de dólares para apoyar los programas de armamento de Corea del Norte. En marzo, el Departamento del Tesoro de EE. UU. sancionó a seis individuos y dos entidades por su presunto papel en esquemas de fraude con trabajadores de TI norcoreanos. El FBI también emitió una guía en junio, recomendando que los empleadores verifiquen el historial profesional de los candidatos y requieran reuniones en persona.

Sin embargo, la explotación de Drift sugiere que los operativos cibernéticos de Pyongyang se están adaptando. La plataforma DeFi dijo que sus colaboradores fueron abordados en persona por individuos que se hacían pasar por una firma de trading cuantitativo en una importante conferencia cripto en noviembre. Los atacantes continuaron comunicándose y generando confianza antes de la brecha.

Ataques a menor escala han continuado en paralelo. El proveedor de carteras cripto Zerion dijo que actores vinculados a la RPDC usaron ingeniería social asistida por IA para robar unos 100.000 dólares en un incidente separado. Corea del Norte rara vez responde a tales acusaciones, aunque su ministerio de relaciones exteriores emitió un comunicado en mayo de 2020 negando su participación en ciberataques y acusando a Estados Unidos de intentar manchar su imagen.

La Oficina Federal de Investigación (FBI) reportó un aumento del 21% en quejas por delitos relacionados con criptomonedas en su informe de 2025 del Centro de Quejas por Delitos en Internet (IC3). El FBI lanzó el IC3 en 2000 como un portal para que las víctimas en EE. UU. reporten fraudes en línea. Los casos de criptomonedas estuvieron vinculados a 181,565 quejas en 2025, resultando en pérdidas de 11.37 mil millones de dólares, más de la mitad del total.

Los estadounidenses mayores de 60 años presentaron el mayor número de quejas relacionadas con criptomonedas. Las estafas de inversión fueron la categoría más grande, generando 61,559 quejas, incluyendo 13,685 de personas de 60 años o más. Esto no significa que el sector minorista esté intacto por las operaciones sospechosas de Corea del Norte. Una investigación publicada en noviembre pasado encontró que operativos vinculados a la RPDC también reclutan individuos para apoyar esquemas de trabajadores de TI remotos.

A lo largo de 2025, Heiner García, un experto en inteligencia de amenazas cibernéticas de Telefónica, entró en contacto con un presunto operativo norcoreano. García declaró previamente que el individuo intentó usarlo como proxy para eludir las restricciones de VPN establecidas por plataformas de trabajo freelance. La táctica implica usar el dispositivo de una víctima en una jurisdicción local instalando software de acceso remoto como AnyDesk.

En agosto de 2024, el Departamento de Justicia de EE. UU. arrestó a Matthew Isaac Knoot por operar una "granja de portátiles" que permitía a trabajadores de TI de la RPDC aparecer como empleados con base en EE. UU. usando identidades robadas. En julio de 2025, Christina Chapman fue sentenciada a más de ocho años de prisión por su papel en ayudar a trabajadores de TI norcoreanos a ganar más de 17 millones de dólares.

Un elemento único del hackeo de Kelp DAO fue la decisión del Consejo de Seguridad de Arbitrum de congelar 30,766 ETH vinculados a la explotación. El ethos de las criptomonedas es la descentralización, pero las respuestas a hackeos importantes continúan dividiendo a la industria. Algunos proyectos se inclinan por una intervención mínima, incluso cuando expertos en seguridad piden acción, dejando poco consenso sobre cuándo es apropiado intervenir.

El CTO de Ledger, Charles Guillemet, dijo el martes que el resultado fue "probablemente" bueno, pero no uno cómodo. Congelar los fondos probablemente evitó más pérdidas. La incomodidad proviene de lo que la acción hace explícito. El Consejo de Seguridad de Arbitrum no explotó un error o descubrió una puerta trasera. Ejercitó su autoridad prevista para anular el estado.

Esa autoridad existe por diseño y está en tensión con la idea de una infraestructura creíblemente neutral. En la práctica, los activos en los rollups de hoy aún pueden verse afectados por decisiones de gobernanza bajo ciertas condiciones. Guillemet vincula esa disyuntiva al entorno de amenazas. La explotación de Kelp DAO no dependió de un error novedoso en un smart contract.

Expuso debilidades en la infraestructura y la configuración, mostrando cómo los ataques se están moviendo más allá del código hacia los sistemas que lo soportan. Al mismo tiempo, los grupos vinculados a Corea del Norte han evolucionado hasta convertirse en adversarios persistentes y con buenos recursos, capaces de sondear esos sistemas en múltiples frentes. Esto deja a la industria enfrentando decisiones difíciles sobre seguridad y control en un panorama de amenazas en constante cambio.