Corea del Norte está cobrando un impuesto sobre DeFi
Durante mucho tiempo, un hack en cripto fue tratado como ruido de una industria joven.
Una falla aquí.
Un bridge mal armado allá.
Un contrato mal auditado en el medio.
Esa lectura quedó vieja.
El 30 de abril, TRM Labs publicó que dos ataques atribuidos a grupos norcoreanos respondieron por el 76% de todo el valor perdido en hacks cripto en 2026 hasta fines de abril. Fueron US$ 577 millones en apenas dos golpes: US$ 285 millones en Drift Protocol, el 1 de abril, y US$ 292 millones en KelpDAO, el 18 de abril.
Cuando dos eventos concentran ese tamaño de daño, ya no estamos hablando de mala suerte estadística.
Estamos hablando de un costo estructural que el mercado todavía insiste en subestimar.
el caso drift mostró que una auditoría no alcanza
Drift, una perp DEX en Solana, publicó el 5 de mayo su plan de recuperación para los usuarios afectados. En el texto, el protocolo habla de US$ 295,4 millones en pérdidas verificadas, un número un poco por encima de la estimación de TRM.
La diferencia de valor no es el punto principal.
El punto principal es cómo ocurrió el ataque.
Según TRM, hubo meses de ingeniería social antes del golpe. El atacante preparó el terreno, explotó el uso de durable nonces en Solana, indujo a signers a prefirmar transacciones y después usó un activo falso, CarbonVote Token, como colateral para drenar activos reales.
El retiro final ocurrió en unos 12 minutos, con 31 extracciones.
Eso debería incomodar a más gente.
No fue un script aleatorio chocando contra un contrato mal escrito.
Fue una operación paciente.
Con preparación.
Con conocimiento del flujo operativo.
Con foco claro en la parte humana y en la rutina de gobernanza.
kelpdao golpeó otro punto débil
Si Drift expuso la fragilidad operativa, KelpDAO expuso la fragilidad de la infraestructura alrededor del protocolo.
TRM escribió que el ataque del 18 de abril drenó cerca de 116.500 rsETH, valuados en US$ 292 millones. El vector, según la investigación, pasó por nodos RPC internos comprometidos y por una configuración con verificador único en LayerZero.
Traducido al español simple: bastó contaminar la fuente de verdad de un puente crítico para liberar un activo sin respaldo del otro lado.
Después vino la parte que el mercado conoce demasiado bien.
Carrera para lavar fondos.
La propia TRM dice que cerca de US$ 75 millones fueron congelados en Arbitrum, mientras una parte relevante del resto corrió hacia THORChain y fue convertida en bitcoin.
¿Ves el tamaño del problema?
En un caso, el riesgo estaba en la gobernanza operativa.
En el otro, en la dependencia de infraestructura externa.
Son dolores distintos, pero con la misma consecuencia: el usuario cree que está comprando exposición a un protocolo. En la práctica, muchas veces está comprando exposición a una pila entera de premisas que nunca leyó.
el mercado todavía valora defi como si el enemigo fuera amateur
Ese quizá sea el error más caro de la fase actual.
Buena parte del mercado sigue analizando DeFi con la cabeza de 2021.
TVL.
Comisiones.
Volumen.
Emisión.
Token unlock.
Pero el atacante del otro lado también evolucionó.
TRM afirma que Corea del Norte ya acumula más de US$ 6.000 millones en robos cripto atribuidos desde 2017. Ya no es un entorno en el que el principal riesgo viene de un adolescente brillante buscando un bounty informal.
Es una amenaza de nivel estatal.
Con tiempo.
Con disciplina.
Con capacidad de esperar meses para monetizar el robo.
Ese detalle cambia la forma de mirar todo el sector.
La auditoría sigue siendo importante, claro.
Pero una auditoría sola no resuelve un signer mal entrenado, una política de multisig floja, un puente armado con un verificador insuficiente o un proceso operativo que abre una ventana para manipulación.
El descuento de valuation de DeFi tiende a salir cada vez menos del código puro y cada vez más de la calidad de la cañería invisible.
la descentralización se volvió menos romántica
Hay otro mensaje incómodo en estos ataques.
En KelpDAO, el congelamiento de emergencia en Arbitrum contuvo cerca de US$ 75 millones. Para quien sufrió el golpe, eso ayuda.
Para la tesis ideológica más pura del sector, eso también muestra otra cosa: a la hora del incendio, mucha gente todavía prefiere tener un botón de emergencia cerca.
No estoy diciendo que eso invalide a DeFi.
Estoy diciendo que la conversación se volvió adulta.
El mercado va a tener que aceptar que la seguridad real no cabe en un slogan simple. En ciertos puntos, exige coordinación, capas redundantes, monitoreo agresivo y hasta poderes extraordinarios para contener daño.
Eso reduce la fantasía, pero mejora la chance de supervivencia.
qué cambia de acá en adelante
Creo que la consecuencia más importante ni siquiera es el titular del hack en sí.
Es la repricing silenciosa que viene después.
Los protocolos van a enfrentar due diligence más dura.
El colateral exótico debería perder espacio más rápido.
Bridges y stacks operativos frágiles pasan a merecer un descuento automático.
Y los proyectos que tratan la seguridad como un centro de costo inevitable, no como un ítem de marketing, tienden a ganar premio.
Ese es el punto que vale guardar.
Los US$ 577 millones citados por TRM no cuentan apenas una historia policial.
Cuentan una historia de mercado.
DeFi sigue siendo útil.
Sigue innovando.
Sigue mereciendo atención.
Pero ahora carga una cuenta geopolítica mucho más explícita.
Quien ignore eso puede seguir viendo TVL, fees y narrativa.
Quien mire bien va a empezar a preguntar si el protocolo sabe defenderse de un adversario que trata el hack como política de Estado.
Esa diferencia de lectura debería separar muchas cosas buenas de muchas cosas frágiles en los próximos meses.
