Hackers de Corea del Norte se infiltran en más de 40 protocolos DeFi y roban 7.000 millones de dólares

Un analista de ciberseguridad ha revelado que trabajadores de TI de Corea del Norte se han infiltrado con éxito en más de 40 protocolos de finanzas descentralizadas (DeFi) durante los últimos siete años, integrándose en proyectos que se remontan al “verano DeFi” de 2020. Las operaciones están vinculadas a colectivos de hackers patrocinados por el estado como el Grupo Lazarus, que se estima ha robado 7.000 millones de dólares desde 2017.

“Muchos trabajadores de TI de la RPDC construyeron los protocolos que conoces y amas, desde el verano DeFi”, dijo Taylor Monahan, desarrolladora de MetaMask e investigadora de seguridad, en una publicación en redes sociales el domingo. Monahan añadió que los “seis años de experiencia en desarrollo de blockchain” enumerados en algunos currículos “no son mentira”.

Las revelaciones conectan estrategias de infiltración a largo plazo con algunos de los robos más grandes en la industria cripto. Según analistas de R3ACH Network, el Grupo Lazarus ha sido vinculado a exploits importantes, incluyendo el hackeo del Ronin Bridge de 625 millones de dólares en 2022 y el más reciente exploit de 280 millones de dólares de Drift Protocol basado en Solana. La campaña sostenida destaca un vector de amenaza persistente y en evolución para todo el ecosistema DeFi.

Esta infiltración a largo plazo representa un riesgo significativo de seguridad operativa para la industria cripto, obligando a los protocolos a reevaluar sus procesos de contratación y verificación de contrapartes. El uso de intermediarios sofisticados y no nacionales sugiere que las verificaciones de antecedentes simples ya no son suficientes para frustrar ataques que pueden haber estado en planificación durante meses o incluso años.

Las tácticas de infiltración evolucionan

El reciente exploit de 280 millones de dólares contra Drift Protocol arrojó luz sobre los métodos evolutivos utilizados por estos grupos afiliados al estado. En un análisis posterior, el equipo de Drift dijo que tenía una “confianza media-alta” de que el ataque fue realizado por un grupo norcoreano. Sin embargo, los desarrolladores del protocolo notaron que las personas con las que se reunieron en persona no eran ciudadanos norcoreanos.

En su lugar, los atacantes utilizaron “intermediarios externos” que tenían “identidades totalmente construidas, incluyendo historiales laborales, credenciales públicas y redes profesionales”.

Esta táctica fue corroborada por Tim Ahhl, fundador de Titan Exchange, quien relató una experiencia previa entrevistando a un candidato que luego fue identificado como un operativo de Lazarus. “Entrevistamos a alguien que resultó ser un operativo de Lazarus”, dijo Ahhl, señalando que el candidato “hizo videollamadas y estaba extremadamente calificado”, pero declinó una entrevista en persona. La Oficina de Control de Activos Extranjeros (OFAC) de EE. UU. mantiene una lista de sanciones que las empresas cripto pueden usar para el filtrado, pero estas tácticas de ingeniería social en evolución complican el cumplimiento.

Evaluando la amenaza

El analista de blockchain ZachXBT advirtió contra agrupar todas las ciberamenazas vinculadas a Corea del Norte. Explicó que el Grupo Lazarus es un término colectivo para “todos los ciberactores patrocinados por el estado de la RPDC”, pero la complejidad de sus ataques varía.

Las amenazas que llegan a través de ofertas de trabajo, LinkedIn o correo electrónico son “básicas y de ninguna manera sofisticadas”, dijo ZachXBT, añadiendo que su principal ventaja es ser “implacables”. Argumentó que caer en tales esquemas en 2026 indica un grado de negligencia. Los ataques más sofisticados, como el de Drift Protocol, involucran meses de preparación deliberada e ingeniería social, representando una amenaza mucho más peligrosa.

El éxito continuo de estos grupos subraya una vulnerabilidad crítica en el espacio DeFi, donde el espíritu de anonimato puede ser explotado. Para los proyectos, especialmente aquellos con equipos seudónimos, el informe es un recordatorio severo de la necesidad de una seguridad operativa robusta, una investigación exhaustiva de los colaboradores y un enfoque de confianza cero para el desarrollo y la administración de protocolos.

Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.