Hackers norcoreanos probablemente responsables de la explotación de $286 millones en Drift Protocol: Elliptic

Elliptic dijo el jueves que el protocolo Drift de 285 millones de dólares exploitación, la más grande de este año, presenta “múltiples indicadores” de la participación del grupo de hackers DPRK patrocinado por el Estado de Corea del Norte.

La firma de investigación señaló específicamente el comportamiento en cadena, las metodologías de lavado y las señales a nivel de red, todos los cuales se alinean con ataques previos vinculados al estado.

Drift Protocol, cuyo token ha caído más del 40% hasta aproximadamente $0.06 desde el hackeo, es el mayor exchange descentralizado de futuros perpetuos en la blockchain de Solana.

“Si se confirma, este incidente representaría el decimoctavo acto de la RPDC que Elliptic ha rastreado este año, con más de 300 millones de dólares robados hasta ahora,” señaló el informe.

“Es una continuación de la campaña sostenida de la RPDC para el robo a gran escala de criptoactivos, que el gobierno de los Estados Unidos ha vinculado con la financiación de sus programas de armas. Se cree que actores vinculados a la RPDC son responsables de miles de millones de dólares en robos de criptoactivos en los últimos años,” añadió Elliptic.

Horas antes, Los datos de Arkham mostraron que más de $250 millones había sido movido de Drift a una billetera interina, luego a varias otras direcciones.

En diciembre, un Informe de Chainalysis reveló Los hackers de Corea del Norte robaron un récord de 2 mil millones de dólares en criptomonedas en 2025, incluyendo el incumplimiento de Bybit por 1.4 mil millones de dólares, lo que representa un aumento del 51 % con respecto al año anterior. El Departamento del Tesoro de los EE. UU. el mes pasado afirmó que Corea del Norte utiliza los activos robados para financiar el programa de armas de destrucción masiva del país.

En lugar de centrarse en la explotación en sí, el análisis de Elliptic destaca un patrón operativo familiar. La actividad parece “premeditada y cuidadosamente planificada,” con transacciones de prueba tempranas y billeteras preposicionadas que preceden al evento principal.

El informe explica que, una vez ejecutadas, los fondos fueron rápidamente consolidados e intercambiados, puenteados entre cadenas y convertidos en activos más líquidos, reflejando un flujo de lavado estructurado y repetible diseñado para oscurecer el origen mientras se mantiene el control.

Un desafío central, señala Elliptic, es el modelo de cuentas de Solana. Debido a que cada activo se mantiene en una cuenta de token separada, la actividad vinculada a un solo actor puede parecer fragmentada a través de múltiples direcciones. Sin vincular estas, los investigadores corren el riesgo de ver “fragmentos de la actividad del atacante, no la imagen completa.”

Aquí es donde el informe de Elliptic destaca el enfoque de agrupación, que conecta las cuentas de tokens con una única entidad, permitiendo identificar la exposición sin importar qué dirección sea analizada. En un incidente que involucra más de una docena de tipos de activos, esa visión a nivel de entidad se vuelve fundamental.

El caso también enfatiza, añade Elliptic en su informe, cómo el lavado de dinero se ha vuelto inherentemente multicanal. Los fondos se movieron de Solana a Ethereum y más allá, demostrando la necesidad de lo que Elliptic describió como “capacidades holísticas de rastreo multicanal.”