Los hackers norcoreanos probablemente están detrás del exploit de Drift Protocol de $286 millones: Elliptic

Elliptic dijo el jueves que el exploit del Protocolo Drift por $285 millones, el más grande de este año, lleva “múltiples indicios” de la participación del grupo de hackers norcoreanos vinculado al estado, el grupo DPRK.

La firma de investigación señaló específicamente el comportamiento en la cadena, las metodologías de blanqueo y las señales a nivel de red, todo lo cual coincide con ataques previos vinculados a estados.

Drift Protocol, cuyo token ha caído más de un 40% hasta aproximadamente $0.06 desde el hack, es el mayor exchange descentralizado de futuros perpetuos en la blockchain de Solana.

“Si se confirma, este incidente representaría la decimoctava acción de DPRK que Elliptic ha rastreado este año, con más de $300 millones robados hasta ahora”, dijo el informe.

“Es una continuación de la sostenida campaña del DPRK de robo de criptoactivos a gran escala, a la que el gobierno de Estados Unidos ha vinculado con la financiación de sus programas de armas. Se cree que los actores vinculados al DPRK son responsables de miles de millones de dólares en robo de criptoactivos en los últimos años”, agregó Elliptic.

Horas antes, los datos de Arkham mostraron que más de $250 millones se habían movido de Drift a una cartera interina y luego a varias otras direcciones.

En diciembre, un informe de Chainalysis reveló que hackers de DPRK robaron un récord de $2 mil millones de cripto en 2025, incluyendo la brecha de $1.4 mil millones en Bybit, lo que representa un aumento del 51% respecto al año anterior. El Departamento del Tesoro de EE. UU. dijo el mes pasado que Corea del Norte utiliza los activos robados para financiar el programa de armas de destrucción masiva del país.

En lugar de centrarse en el exploit en sí, el análisis de Elliptic destaca un patrón operativo familiar. La actividad parece “premeditada y cuidadosamente preparada”, con transacciones de prueba iniciales y carteras preposicionadas antes del evento principal.

El informe explica que, una vez ejecutados, los fondos se consolidaron rápidamente y se intercambiaron, se enlazaron entre cadenas y se convirtieron en activos más líquidos, lo que refleja un flujo de blanqueo estructurado y repetible diseñado para ocultar el origen mientras se mantiene el control.

Un desafío central, señala Elliptic, es el modelo de cuentas de Solana. Debido a que cada activo se mantiene en una cuenta de token separada, la actividad vinculada a un solo actor puede aparecer fragmentada en múltiples direcciones. Sin vincular estos elementos, los investigadores corren el riesgo de ver “fragmentos de la actividad del atacante, no la imagen completa”.

Aquí es donde el informe de Elliptic destaca el enfoque de agrupamiento, que conecta las cuentas de token de regreso con una sola entidad, permitiendo que se identifique la exposición sin importar qué dirección se revise. En un incidente que involucró más de una docena de tipos de activos, esa visión a nivel de entidad se vuelve fundamental.

El caso también subraya, agrega Elliptic en su informe, cómo el blanqueo se ha vuelto intrínsecamente entre cadenas. Los fondos movidos desde Solana hacia Ethereum y más allá, demuestran la necesidad de lo que Elliptic describió como “capacidades holísticas de trazado entre cadenas”.