Hackers norcoreanos sospechosos detrás de un robo DeFi de $285 millones en 12 minutos

TL;DR

• Drift Protocol — el mayor exchange descentralizado de futuros en Solana — fue vaciado de una cantidad estimada de 285 millones de dólares el 1 de abril de 2026
• El ataque duró aproximadamente 12 minutos y fue posible gracias a claves de administrador comprometidas y manipulación social
• Las firmas de análisis de blockchain Elliptic y TRM Labs han señalado el ataque como portador de características distintivas de hackers estatales norcoreanos
• El valor total bloqueado (TVL) de Drift cayó cerca del 50 por ciento, y el token DRIFT se desplomó más del 20 por ciento tras el incidente

Bóvedas Vaciadas en Tiempo Récord

En la noche del 1 de abril de 2026, Drift Protocol — el mayor exchange descentralizado de futuros perpetuos en la red Solana — fue objeto de uno de los ataques DeFi más destructivos en lo que va de año. Según Unchained, los fondos, que incluían tokens JLP, USDC, WETH y WBTC, fueron retirados en aproximadamente doce minutos. Elliptic estimó la pérdida total en 286 millones de dólares.

Los fondos robados fueron transferidos de Solana a Ethereum en pocas horas — un método clásico para complicar los esfuerzos de rastreo.

No es una Debilidad en el Código — Sino en las Claves

Las partes afectadas y los investigadores de seguridad subrayan que el ataque no explotó un fallo en el propio contrato inteligente. Según notas de investigación de Elliptic y TRM Labs, se trató de una operación altamente sofisticada en la que los atacantes obtuvieron control a través de una clave de administrador comprometida, combinada con manipulación social y fallos en la seguridad operativa.

Más concretamente, se dice que los atacantes explotaron los llamados «nonces duraderos» para obtener control administrativo, listar un nuevo mercado y aumentar los límites de retiro — todo mientras los sistemas de defensa del protocolo no alertaron a tiempo.

Esto recuerda la metodología detrás de una serie de otros ataques vinculados a Corea del Norte, donde el acceso a través de información privilegiada o manipulación social ha sido crucial — no la explotación clásica de código.

Elliptic y TRM Labs Señalan a Pyongyang

Ni Elliptic ni TRM Labs han publicado informes técnicos completos de atribución en este momento, y es importante subrayar que la sospecha se basa actualmente en la coincidencia de patrones — no en una identificación legalmente probada. Sin embargo, las evaluaciones de ambas firmas indican que el ataque presenta características típicas de actores patrocinados por el estado norcoreano.

Esto encaja en un patrón más amplio. Según Chainalysis, los grupos de hackers norcoreanos robaron más de dos mil millones de dólares en criptomonedas solo en 2025 — un nuevo récord que representó aproximadamente el 60 por ciento de todos los fondos robados en el sector. El ataque de febrero de 2025 contra Bybit, donde desaparecieron 1.500 millones de dólares, sigue siendo considerado el mayor robo individual en la historia de las criptomonedas.

Hackers Patrocinados por el Estado con Lavado de Dinero Industrializado

Los grupos de hackers norcoreanos — principalmente el Grupo Lazarus, que opera bajo la agencia de inteligencia del país, la Oficina General de Reconocimiento — son, según material de investigación de Chainalysis y TRM Labs, especialistas en el rápido lavado de dinero post-hackeo. Después del ataque a Bybit, los analistas observaron que 160 millones de dólares fueron canalizados a través de redes ilícitas en dos días.

Los fondos robados se estructuran típicamente en tramos más pequeños de menos de 500.000 dólares, se envían a través de puentes de cadena cruzada y servicios de mezcla, y finalmente se blanquean a través de corredores chinos en la sombra que convierten las criptomonedas a yuanes o se transfieren directamente a empresas fachada norcoreanas.

Andrew Fierman, jefe de inteligencia de seguridad nacional en Chainalysis, ha declarado anteriormente que los actores norcoreanos «siempre buscarán nuevos vectores para robar fondos en nombre del régimen», y que los métodos están «en constante evolución, son altamente sofisticados y están profundamente arraigados en todas las jurisdicciones».

Solana DeFi Bajo Presión

El ataque es el más grave hasta ahora en una serie de incidentes de seguridad que han afectado a los protocolos basados en Solana. Según datos de investigación, los proyectos de Solana han perdido más de 450 millones de dólares debido a exploits entre 2021 y 2025. El puente Wormhole fue vaciado de 325 millones de dólares en 2022, y Mango Markets perdió 115 millones de dólares el mismo año.

Anton Kharitonov de Traders Union señala que la explotación de Drift «ha debilitado aún más la confianza del mercado en Solana» — una observación que debe leerse a la luz de que el TVL total de Solana en DeFi se acercaba a los 8.600 millones de dólares a finales de 2024.

La propia red Solana no ha sido el objetivo principal — son los protocolos y la gestión de claves dentro de los equipos los que han fallado. Pero para los usuarios e inversores, la distinción entre seguridad de la red y seguridad del protocolo ofrece poco consuelo cuando los fondos han desaparecido.

¿Qué Sucede Después?

El equipo de Drift no ha publicado un informe completo del incidente hasta el 4 de abril de 2026. Las firmas de análisis de blockchain están rastreando la trazabilidad de los fondos robados, pero la historia de robos anteriores vinculados a Corea del Norte — incluyendo Bybit y Ronin — muestra que tales fondos rara vez son recuperables. Las autoridades estadounidenses han sancionado previamente al Grupo Lazarus y a las direcciones de monedero asociadas, pero el efecto en la recuperación real de fondos ha sido limitado.

Para el sector DeFi en su conjunto, el incidente actualiza la cuestión de si los protocolos con claves de administrador centralizadas realmente cumplen la promesa de seguridad descentralizada.