Cómo los hackers norcoreanos robaron 285 millones de dólares de una plataforma de cripto — y por qué afecta a todos
Los atacantes no hackearon el código de Drift. En cambio, fingieron ser empleados de una firma legítima de trading cuantitativo —un tipo de empresa de inversión que usa matemáticas y algoritmos para operar. A partir de octubre de 2025, asistieron a grandes conferencias de cripto, dieron la mano a desarrolladores reales y forjaron relaciones durante cafés y cenas. Para abril de 2026, habían ganado suficiente confianza como para acceder a partes sensibles del sistema.
Piensa en alguien que durante meses se hace pasar por inspector de edificios, con bloc de notas y credencial oficial, hasta que el guardia de seguridad finalmente lo deja entrar a la sala de servidores sin verificar su identidad.
Una vez dentro, utilizaron una función de Solana llamada "nonces duraderos" —una herramienta técnica que permite preaprobar transacciones que pueden permanecer inactivas semanas antes de ejecutarse. Engañaron a colaboradores internos para que firmaran estas autorizaciones dormidas, que más tarde desencadenaron 31 retiros rápidos por un total de 285 millones de dólares.
El token falso que engañó al sistema
Para llevar a cabo el robo, los hackers también crearon una criptomoneda falsa llamada CarbonVote (CVT). Inyectaron unos miles de dólares, la intercambiaron entre cuentas que controlaban (una práctica conocida como "trading de lavado"), y lograron que pareciera un activo real con valor de mercado. Luego, engañaron a los oráculos de precios de Drift —software que informa al sistema el valor de los activos— para que creyeran que CVT era un colateral válido.
Es como imprimir tu propio dinero de Monopoly y convencer a un banco de que es dinero estadounidense real para poder sacar un préstamo. Una vez que el sistema aceptó CVT como válido, los hackers tomaron préstamos contra él y retiraron dinero real al instante.
Empresas de análisis blockchain como Elliptic y TRM Labs rastrearon el ataque hasta el Grupo Lazarus, un equipo de hacking patrocinado por el estado norcoreano conocido por financiar al régimen mediante ciberdelincuencia. Este es su 18º atraco confirmado en cripto solo en 2026.
Efectos en cadena en el mundo de las cripto
Las consecuencias fueron inmediatas:
- El precio del token de Drift cayó más del 40%
- El valor total bloqueado (TVL), una medida de cuánto dinero han depositado los usuarios, bajó de 550 millones a menos de 250 millones de dólares
- Al menos una docena de otras aplicaciones basadas en Solana suspendieron sus operaciones porque dependían de la infraestructura de Drift
- Circle, la empresa detrás del stablecoin USDC, enfrentó críticas por no congelar más rápido los 232 millones de dólares robados tras su transferencia a Ethereum
¿Qué significa esto para las personas comunes?
No necesitas tener cripto para verse afectado por ataques como este. Cada vez que se compromete una plataforma importante, se tambalea la confianza en la finanza digital en general. Bancos, apps de pago e incluso servicios gubernamentales usan cada vez más sistemas similares a blockchain. Si los hackers pueden explotar la confianza y fallas de diseño en un lugar, es probable que existan vulnerabilidades similares en otros sitios.
Más importante aún: esto demuestra que la tecnología sola no garantiza la seguridad. La toma de decisiones humana —como verificar quién estás realmente contactando— es tan crucial como los cortafuegos y el cifrado.
Conclusiones clave
- Hackers norcoreanos robaron 285 millones de dólares de Drift Protocol usando ingeniería social y activos falsos
- El ataque duró 12 minutos pero fue planeado durante seis meses mediante engaño presencial
- Explotaron los "nonces duraderos" y manipularon oráculos de precios con un token falso
- Este caso forma parte de una tendencia creciente de ciberataques estatales dirigidos al financiamiento descentralizado
- La confianza, no solo el código, es un punto débil crítico en los sistemas digitales
— Editorial Team