Por Canuto Elliptic atribuyó el exploit de USD $285 millones contra Drift Protocol a una operación con múltiples rasgos asociados a hackers norcoreanos, en un caso que además expone los retos forenses de rastrear fondos robados en Solana y a través de varias blockchains.
***
- Elliptic dijo que el ataque a Drift Protocol presenta señales onchain y patrones de lavado compatibles con operaciones previas vinculadas a la RPDC.
- Más de USD $250 millones fueron movidos rápidamente a una billetera intermedia y luego repartidos entre varias direcciones, según datos de Arkham.
- El caso subraya cómo la estructura de cuentas de Solana y el lavado entre cadenas dificultan seguir el rastro completo del atacante.
El exploit contra Drift Protocol, que derivó en el robo de USD $285 millones, fue calificado por la firma de análisis Blockchain Elliptic como una operación con “múltiples indicadores” de participación de hackers patrocinados por el Estado norcoreano. De confirmarse, se trataría del mayor hackeo de este año y de un nuevo episodio dentro de una campaña sostenida de robos de criptoactivos atribuida a la República Popular Democrática de Corea (RPDC).
Drift Protocol opera como el mayor exchange descentralizado de futuros perpetuos en la Blockchain de Solana. Tras el incidente, su token acumuló una caída superior al 40%, hasta cotizar cerca de USD $0,06, reflejando el golpe reputacional y operativo que suelen dejar este tipo de ataques en plataformas DeFi.
De acuerdo con el análisis citado por CoinDesk, la atención no se centra únicamente en la vulnerabilidad explotada, sino en la forma en que los fondos fueron movidos después del robo. Para Elliptic, el comportamiento onchain, las metodologías de lavado y varias señales a nivel de red reproducen patrones ya observados en operaciones anteriores vinculadas al aparato estatal de Corea del Norte.
La firma sostuvo que la actividad detectada parece haber sido premeditada y escalonada con cuidado. Según su lectura, hubo transacciones de prueba en una etapa temprana y billeteras preposicionadas antes del evento principal, una táctica que sugiere preparación operativa y no una acción improvisada.
Una vez ejecutado el exploit, los activos fueron consolidados e intercambiados con rapidez. Luego se movieron entre distintas cadenas y se convirtieron en activos más líquidos, siguiendo un flujo de lavado estructurado y repetible, diseñado para ocultar el origen de los fondos sin perder control sobre ellos.
Un patrón que recuerda ataques previos atribuidos a la RPDC
Elliptic afirmó que, si se confirma la autoría, este caso representaría el acto número 18 de la RPDC rastreado por la firma en lo que va de año. La cifra total sustraída en esos incidentes superaría los USD $300 millones, de acuerdo con su conteo.
La empresa añadió que este episodio encaja en una campaña más amplia de robo de criptoactivos a gran escala. Esa estrategia, señaló, ha sido vinculada por el gobierno de Estados Unidos con el financiamiento de los programas de armas del régimen norcoreano.
La preocupación no es nueva, pero sí creciente. En los últimos años, distintos informes y acciones oficiales han sostenido que actores asociados a Corea del Norte han participado en robos multimillonarios de criptomonedas, aprovechando la liquidez global del mercado y la complejidad técnica del rastreo entre redes.
En esa misma línea, un informe de Chainalysis publicado en diciembre indicó que hackers de la RPDC robaron un récord de USD $2.000 millones en criptomonedas durante 2025. Esa cifra incluyó el ataque de USD $1.400 millones contra Bybit y supuso un aumento del 51% frente al año anterior.
Además, el mes pasado el Departamento del Tesoro de Estados Unidos afirmó que Corea del Norte utiliza activos robados para financiar el programa de armas de destrucción masiva del país. Ese contexto hace que cada nuevo ataque de gran escala tenga implicaciones que exceden el ámbito puramente financiero o tecnológico.
Movimientos de fondos y señales tempranas del lavado
Horas antes de la publicación del análisis de Elliptic, datos de Arkham mostraron que más de USD $250 millones habían salido de Drift hacia una billetera intermedia. Posteriormente, esos fondos fueron enviados a varias direcciones adicionales, una secuencia que suele ser observada cuando un atacante intenta fragmentar el rastro y reducir la visibilidad inmediata.
La secuencia posterior reforzó las sospechas de los investigadores. En lugar de permanecer dentro de un solo ecosistema, los fondos habrían comenzado a desplazarse desde Solana hacia Ethereum y posiblemente a otras redes, en una maniobra que apunta a maximizar la dificultad del rastreo forense.
Ese tipo de lavado entre cadenas se ha vuelto cada vez más frecuente en los mayores ataques del sector. Para los analistas, el objetivo es aprovechar las diferencias operativas entre blockchains, los puentes, los servicios de intercambio y la fragmentación de datos para construir varias capas de opacidad.
Elliptic remarcó que ese comportamiento exige herramientas de rastreo holístico entre cadenas. Sin una visión integrada, los investigadores pueden perder partes clave del recorrido de los activos y subestimar la exposición real de una plataforma, una contraparte o un servicio que reciba fondos vinculados al robo.
Por qué Solana complica la investigación
Uno de los puntos más relevantes del caso es el desafío técnico que introduce el modelo de cuentas de Solana. A diferencia de otras redes donde un monedero puede presentar una vista más unificada, en Solana cada activo se mantiene en una cuenta de token separada.
Eso significa que la actividad de un mismo actor puede aparecer fragmentada en múltiples direcciones. Si esas piezas no se conectan correctamente, los investigadores corren el riesgo de observar solo fragmentos del comportamiento del atacante y no una imagen completa de la operación.
Para un lector menos familiarizado con la forensia blockchain, esto implica que seguir una sola dirección ya no basta. En redes con estructuras de cuentas más complejas, es necesario reconstruir relaciones entre varias cuentas de tokens y varios movimientos para identificar a la entidad subyacente que controla los fondos.
Ahí es donde Elliptic destacó el uso de técnicas de agrupamiento o clustering. Ese enfoque permite vincular cuentas de token dispersas de vuelta a una sola entidad, de modo que sea posible detectar exposición sin importar qué dirección puntual esté siendo examinada.
La importancia de ese método aumenta en incidentes con una docena o más tipos de activos. En un exploit de gran escala, el atacante puede mover diferentes tokens, intercambiarlos, consolidarlos y repartirlos entre redes, por lo que una visión a nivel de entidad se vuelve crítica para entender el verdadero alcance del evento.
Impacto para Drift y para el ecosistema DeFi
Más allá de la eventual atribución, el ataque vuelve a poner presión sobre el ecosistema DeFi y sobre Solana como infraestructura para productos financieros complejos. Drift no es una plataforma menor, sino el mayor exchange descentralizado de futuros perpetuos en esa red, lo que eleva el perfil del incidente y sus posibles efectos sistémicos dentro del sector.
También deja al descubierto una realidad incómoda para la industria. Aunque la transparencia de blockchain ofrece ventajas para la auditoría y el seguimiento de fondos, los atacantes han refinado sus tácticas para explotar la fragmentación entre cadenas, la velocidad de ejecución y las debilidades operativas de los investigadores y de las plataformas.
El caso de Drift muestra que la batalla ya no pasa solo por prevenir el exploit inicial. También depende de la rapidez para detectar patrones postataque, compartir inteligencia entre actores del mercado y bloquear rutas de salida antes de que los activos robados queden suficientemente mezclados o convertidos en instrumentos más líquidos.
Por ahora, el análisis disponible sugiere que el incidente responde a una operación altamente organizada. Si futuras investigaciones confirman la participación de Corea del Norte, el ataque a Drift se sumará a la lista de grandes robos cripto con implicaciones geopolíticas, regulatorias y de seguridad internacional.
En cualquier escenario, el exploit refuerza una lección central para el ecosistema: en un mercado cada vez más interconectado, la seguridad ya no puede evaluarse cadena por cadena. La trazabilidad efectiva, la respuesta coordinada y la capacidad de análisis multicadena son elementos cada vez más decisivos para contener pérdidas y limitar el uso ilícito de los fondos sustraídos.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
X bloqueará cuentas que mencionen criptomonedas por primera vez para frenar estafas
Criptomonedas
Coinbase recibe aprobación condicional para una carta fiduciaria nacional en EEUU
Bitcoin
Millonarios Gen Z y millennials se lanzan a cripto por FOMO, revela informe del CFA Institute
Criptomonedas