✨︎ Resumen (TL;DR):
- Hackers patrocinados por Corea del Norte vulneraron el mayor exchange de Solana mediante ingeniería social.
- El ataque extrajo 286 millones de dólares en 31 transacciones que tomaron apenas 12 minutos.
- El hackeo desplomó el valor total bloqueado de Drift y afectó a otros 11 proyectos DeFi conectados.
El 1 de abril, atacantes vulneraron la plataforma de Solana Drift Protocol, extrayendo 286 millones de dólares. Firmas de análisis blockchain rastrearon el ataque hasta Lazarus Group, patrocinado por el estado de Corea del Norte, elevando el mayor hackeo DeFi de 2026 a un incidente geopolítico de ciberseguridad.
Drift Protocol es un exchange descentralizado que permite operar contratos de futuros perpetuos.
Empresas como TRM Labs, Elliptic y DivergSec publicaron análisis que conectan el robo masivo con Pyongyang. TRM Labs detalló que la preparación inició el 11 de marzo, casi tres semanas antes del golpe, con un retiro de 10 ETH desde Tornado Cash alrededor de las 9:00 a.m. en el horario de la capital norcoreana.
Por su parte, Elliptic señaló que el comportamiento en la cadena, los métodos de lavado y los indicadores de red fueron “consistentes con las técnicas observadas en operaciones anteriores atribuidas a la RPDC”.
Los atacantes fabricaron un token falso llamado CarbonVote (CVT) y pasaron semanas simulando volumen comercial para generar un historial de oráculo estable. Posteriormente, lo listaron como colateral válido en Drift con límites de retiro manipulados.
En un lapso de 12 minutos, ejecutaron 31 transacciones que drenaron activos reales como USDC, tokens JLP, SOL y wrapped Bitcoin de tres bóvedas principales.
Charles Guillemet, CTO de Ledger, detectó tácticas similares a las norcoreanas. El ejecutivo aclaró que la vulnerabilidad explotada no fue un error de smart contract, sino un compromiso multifirma ejecutado a través de ingeniería social.
Impacto sistémico y el botín de Pyongyang
El robo masivo hundió el valor total bloqueado de Drift, pasando de aproximadamente 550 millones de dólares a menos de 250 millones de dólares en tan solo una hora, según datos de Elliptic. El token DRIFT cayó más de un 40% al conocerse los reportes.
Aproximadamente 11 proyectos DeFi interconectados, incluidos Ranger Finance y Reflect Money, reportaron exposición secundaria por sus integraciones compartidas con Drift.
El equipo de Drift suspendió todos los depósitos y retiros. El protocolo envió mensajes on-chain a cuatro billeteras que mantienen los fondos robados, indicando que los investigadores podrían tener identificados a los operadores de las cuentas.
Elliptic registró este incidente como el decimoctavo ataque vinculado a la RPDC en 2026, acumulando más de 300 millones de dólares robados este año. Lazarus Group ejecutó antes el hackeo de Bybit por 1,500 millones y el robo del puente Ronin por 625 millones.
Chainalysis calculó que los hackers norcoreanos robaron 2,020 millones de dólares en criptomonedas durante 2025. Esto representa un aumento interanual del 51% y eleva su total histórico a casi 6,750 millones. El Tesoro de Estados Unidos vincula directamente estos activos cripto con el financiamiento del programa de armas de destrucción masiva de Corea del Norte.
