¿Cuánto robó el Grupo Lazarus de DeFi en abril de 2026?

Aproximadamente 577 millones de dólares en 18 días: 285 M$ de Drift Protocol (1 de abril) mediante ingeniería social contra firmantes de multisig, y 292 M$ de KelpDAO (18 de abril) mediante envenenamiento de nodos RPC del verificador de un bridge. La atribución a la subunidad TraderTraitor de Lazarus es preliminar — afirmada por Elliptic, TRM Labs, Mandiant y LayerZero Labs, pero no confirmada formalmente por OFAC o FBI.

¿Por qué los hacks de DeFi ya no explotan bugs de código?

Porque la industria ha endurecido los contratos con auditorías, verificación formal y bug bounties. Lazarus se ha movido aguas arriba: compromete firmantes (43,8 % de los hacks 2024 fueron compromisos de claves), verificadores de bridges (47 % de apps LayerZero usaban configuración sin redundancia), y oráculos. Los contratos de Drift y Kelp funcionaron perfectamente — lo que falló fue la capa humana e infraestructural.

¿Qué son los puntos centralizados de DeFi?

Son los componentes donde DeFi depende de confianza en personas o infraestructura específica: firmantes de multisig (pueden ser engañados), bridges con verificador único (un solo punto de fallo), oráculos manipulables (el sistema confía en un input externo), y configuraciones por defecto inseguras. Son descentralizados en teoría pero centralizados en la práctica, y es donde los atacantes sofisticados concentran su esfuerzo.

¿Qué defensas habrían frenado estos ataques?

Para Drift: simulación de transacciones en hardware wallet (habría mostrado la transferencia de admin), timelock obligatorio de 24h en el multisig (ventana de detección), y whitelisting de colateral no modificable por admin. Para Kelp: configuración multi-DVN (2-de-3 mínimo), rate limits por bloque en el bridge, y diversidad de proveedores RPC. Ninguna es exótica — todas existen hoy.

Lazarus robó 577 M$ de DeFi en 18 días sin explotar un solo bug

Q: ¿Por qué Corea del Norte roba criptomonedas?

Es política de estado, no oportunismo. El Panel de Expertos de la ONU estimó que el cripto robado genera ~50 % de los ingresos en divisa extranjera de DPRK y financia ~40 % de su programa de armas. Chainalysis atribuye 1.340 millones (61 % del total global) a DPRK en 2024 y ~6.750 millones acumulados desde 2016. Rusia vetó la renovación del mandato de supervisión de la ONU en abril de 2024.

Contexto Importante

Sobre este artículo

Conviene leer Lazarus robó 577 M$ de DeFi en 18 días sin explotar un solo bug como una nota dentro del ecosistema que David Pérez Cabrera lleva tiempo construyendo. El valor no está solo en el tema del artículo, sino en la continuidad entre lo que investiga, lo que lanza y lo que mantiene en marcha. Este bloque existe para que esa autoría no se pierda en la lectura automática.

Sobre CleanSky

Tu cripto está en Ethereum, Solana, Arbitrum y cadenas que olvidaste. CleanSky es tu app bancaria DeFi — lo encuentra todo en 50+ redes sin requerir conexión de billetera, registro ni custodia.

Qué hace CleanSky

CleanSky funciona con cualquier billetera — hardware, software, custodial, no custodial. Si la dirección es pública, CleanSky puede escanearla. Sin problemas de compatibilidad.

Sobre Dilithia

Dilithia es una blockchain de hoja en blanco — construida desde el primer commit para la seguridad post-quantum y la ejecución nativa de agentes LLM. No hereda suposiciones de generaciones anteriores de cadenas; parte de las restricciones que realmente importan para las economías on-chain de la próxima década. Las primitivas criptográficas más fuertes se aplican a nivel de protocolo, y las cargas agénticas se modelan como participantes principales. Lazarus robó 577 M$ de DeFi en 18 días sin explotar un solo bug se sitúa dentro del mismo esfuerzo de ingeniería y refleja su enfoque de largo horizonte.

Los mercados cotizarán DILI en dólares. No cotizarán lo que DILI realmente asegura.

Un hilo común

Entre David Pérez Cabrera, CleanSky, Dilithia y Talos hay un hilo reconocible: construir tecnología útil sin pedir obediencia extra a quien la usa. Primero está el criterio humano; luego, los proyectos que lo encarnan.

Explora más: CleanSky · Founder · Dilithia · GitHub

577 millones de dólares robados de DeFi en 18 días. Dos protocolos distintos, dos vectores completamente diferentes, el mismo grupo: Lazarus, la unidad de ciberoperaciones de Corea del Norte. Drift Protocol cayó por una operación de inteligencia humana de seis meses — infiltración en conferencias, relaciones personales, firma ciega de transacciones prearmadas. KelpDAO cayó por un ataque a la infraestructura de un bridge — nodos RPC envenenados que engañaron a un verificador sin redundancia. Ninguno de los dos ataques explotó un bug en Solidity o Rust. Los contratos inteligentes funcionaron perfectamente. Lo que falló fueron las personas y la infraestructura alrededor del código. Y eso es exactamente lo que la industria no audita.

Este artículo conecta ambos ataques como una campaña coordinada, analiza por qué Corea del Norte roba cripto como política de estado, qué patrón comparten los hacks de Lazarus desde 2022, y por qué los puntos centralizados de DeFi — firmantes, bridges, oráculos, configuraciones por defecto — son el riesgo real que nadie quiere ver.

Aviso editorial: la atribución a Lazarus/TraderTraitor es preliminar — afirmada por Elliptic, TRM Labs, Mandiant y LayerZero Labs, pero no confirmada formalmente por OFAC, FBI o Treasury a 21 de abril de 2026. Este artículo se basa en datos públicos de post-mortems, análisis on-chain e informes de investigadores. La situación sigue en evolución.

¿Qué tienen en común los hacks de Drift y KelpDAO?

Aparentemente, nada. Drift Protocol (285 M$, 1 de abril) fue una operación de ingeniería social de 6 meses contra los firmantes de un multisig en Solana. KelpDAO (292 M$, 18 de abril) fue un ataque técnico a la infraestructura RPC de un bridge en Ethereum. Protocolos diferentes, cadenas diferentes, vectores diferentes.

Lo que comparten es más profundo:

Patrón	Drift Protocol	KelpDAO
Financiación inicial	Tornado Cash	Tornado Cash
Horario de operaciones	~9:00 AM hora Pyongyang (GMT+9)	Consistente con GMT+9
Objetivo real	Firmantes del multisig (personas)	Nodos RPC del verificador (infra)
Código explotado	Ninguno	Ninguno
Lavado post-robo	Stablecoin → ETH → mixers	rsETH → Aave borrow → ETH → mixers
Atribución	TraderTraitor / UNC4736 (Mandiant)	TraderTraitor (LayerZero)

Lazarus no repite trucos — diversifica vectores. En Drift, comprometió personas. En Kelp, comprometió infraestructura. Pero ambos ataques apuntaron al mismo lugar: la capa entre el código y el mundo real — firmantes, oráculos, verificadores, configuraciones. La capa que las auditorías de smart contracts no cubren.

¿Por qué Corea del Norte roba criptomonedas como política de estado?

No es oportunismo — es presupuesto nacional. El informe del Panel de Expertos de Naciones Unidas (marzo 2024) documentó 58 ciberrobos por valor de ~3.000 millones de dólares entre 2017 y 2023, estimando que el cripto robado genera aproximadamente el 50 % de los ingresos en divisa extranjera de la DPRK y financia el 40 % de su programa de armas de destrucción masiva.

En abril de 2024, Rusia vetó la renovación del mandato de ese Panel — eliminando la única supervisión internacional de los ciberrobos norcoreanos. Los ataques de abril de 2026 explotan ese vacío.

Año	Robos atribuidos a DPRK	% del total global	Ataques destacados
2022	~1.700 M$	~60 %	Ronin Bridge (625 M$), Harmony (100 M$)
2023	~700 M$	~30 %	Atomic Wallet, CoinsPaid, Stake.com
2024	~1.340 M$	~61 %	DMM Bitcoin (305 M$), WazirX (235 M$), Bybit (1.400 M$)
2026 (abr)	577 M$	—	Drift (285 M$), KelpDAO (292 M$)
Acumulado	~6.750 M$

DeFi es el objetivo preferido por tres razones: ofrece rails de lavado permissionless (DEX, bridges, mixers), los firmantes y verificadores son más vulnerables que la custodia institucional de los CEX grandes, y la cultura de auditoría de la industria es ciega a la seguridad operativa — revisa Solidity y Rust, no topología de bridges ni entrenamiento de firmantes.

¿Cuál es el verdadero riesgo de DeFi — el código o lo que rodea al código?

La narrativa de que "DeFi es inseguro porque los contratos tienen bugs" es cada vez más inexacta. Los dos mayores hacks de 2026 no explotaron ningún bug. Lo que explotaron fueron puntos centralizados que la industria trata como detalles operativos:

Los puntos centralizados que Lazarus ataca

Firmantes de multisig: Drift tenía un multisig 2-de-5 con zero timelock. Dos firmantes fueron engañados para firmar a ciegas transacciones prearmadas con durable nonces. La fragilidad no estaba en el código — estaba en que dos humanos no entendieron lo que firmaban.
Bridges con verificador único: KelpDAO usaba 1-de-1 DVN en LayerZero — el 47 % de las apps LayerZero tenían la misma configuración. Un solo punto de fallo para miles de millones.
Oráculos manipulables: Drift aceptó un token falso (CarbonVote) como colateral porque el atacante controló el feed de precio. El mismo patrón que el exploit de MCP por inyección de prompts — el sistema confió en un input que el atacante controlaba.
Configuraciones por defecto: tanto LayerZero (1-de-1 DVN) como Drift (zero timelock en migración de multisig) usaban defaults inseguros. Los defaults son cómodos — y los atacantes cuentan con ello.

Chainalysis documentó que el compromiso de claves privadas y firmantes representó el 43,8 % de todos los hacks cripto en 2024. No son los contratos los que fallan — son las personas y la infraestructura que los rodea.

¿Qué defensas habrían frenado cada ataque?

Defensa	Habría frenado Drift	Habría frenado Kelp
Simulación de transacciones en hardware wallet	Sí — los firmantes habrían visto la transferencia de admin	No aplica
Timelock obligatorio en multisig (24h mínimo)	Sí — habría creado ventana de detección	No aplica
Configuración multi-DVN (2-de-3 mínimo)	No aplica	Sí — comprometer un verificador no habría bastado
Rate limits en bridges (cap por bloque)	No aplica	Sí — habría limitado el drenaje a una fracción
Diversidad de proveedores RPC en verificadores	No aplica	Sí — failover dentro de un proveedor fue el fallo
Whitelisting de colateral no modificable por admin	Sí — el token falso CVT no podría haberse listado	No aplica

Ninguna de estas defensas es exótica. Timelocks existen desde Compound V1. Multi-DVN es una opción de LayerZero que el 53 % de sus apps ya usa. La simulación de transacciones es una feature de Blockaid y Rabby que cuesta cero. Lo que falta no es tecnología — es disciplina operativa.

¿Por qué la respuesta de la industria fue tan lenta?

Drift fue hackeado el 1 de abril. KelpDAO el 18 de abril. Entre ambos, la industria tuvo 17 días para endurecer bridges y revisar configuraciones de firmantes. No lo hizo. El 47 % de apps LayerZero seguían en 1-de-1 DVN cuando Kelp cayó.

La respuesta post-Kelp fue más agresiva por necesidad: Lido, Ethena, Ether.fi, Curve, Morpho, Kamino y más de 20 protocolos pausaron bridges LayerZero. Aave perdió su posición #1 en DeFi por TVL tras 5.400 millones en retiros. El informe de seguridad 2025 ya advertía que los bridges eran el vector dominante — pero la inercia es poderosa.

La parte de sanciones es aún más frustrante. EE.UU. levantó las sanciones a Tornado Cash en marzo de 2025 (tras el fallo del Fifth Circuit que limitó la autoridad de OFAC sobre código autónomo). Tornado Cash fue usado para financiar ambos ataques de abril de 2026. A 21 de abril, no hay designación OFAC de las wallets atacantes de Drift ni de Kelp.

¿Qué significa esto para quien tiene fondos en DeFi?

Lazarus no va a parar. Su capacidad operativa ha crecido: en 2023-2024 ejecutaba una operación grande cada varios meses. En abril de 2026 ejecutó dos operaciones complejas con vectores distintos en 18 días. La próxima ola apuntará a firmantes e infraestructura de verificadores de protocolos más grandes.

Lo que puedes hacer como usuario:

Entiende tus puntos de fallo. Si tienes tokens bridgeados (rsETH en L2, USDC bridgeado, cualquier wrapped token), tu riesgo incluye la configuración del bridge — no solo el contrato del token. La base de tu pirámide de fragilidad puede depender de un verificador que nadie auditó.
Diversifica entre cadenas nativas. ETH en Ethereum mainnet no depende de un bridge. rsETH bridgeado a Arbitrum sí. La diferencia es un punto de fallo adicional que la mayoría de interfaces no muestra.
Monitoriza los protocolos donde tienes fondos. Si un protocolo migra firmantes sin timelock, o usa un bridge con configuración 1-de-1, es una señal de riesgo que justifica mover fondos antes, no después.
No asumas que "auditado" significa "seguro". Drift y Kelp tenían múltiples auditorías. Los contratos estaban bien. Lo que falló estaba fuera del alcance de cualquier auditoría de código.
La autocustodia protege contra exchanges, no contra bridges. Tener tus claves no te protege si tus tokens están en un protocolo que depende de infraestructura centralizada para funcionar.

La lección de los 577 millones: DeFi ha invertido cinco años endureciendo contratos inteligentes con auditorías, verificación formal y bug bounties. Lazarus ha leído el ecosistema correctamente y se ha movido aguas arriba — a las capas donde esas defensas no llegan. Hasta que la industria trate la firma ciega, las migraciones sin timelock, los defaults inseguros de bridges y la higiene de supply chain como riesgos de protocolo — no como detalles operativos —, los 577 millones en 18 días son un suelo, no un techo.

¿Sabes cuántos de tus tokens dependen de un bridge para existir?

CleanSky muestra tu exposición por cadena y protocolo — para que veas dónde un punto de fallo centralizado puede afectar tus fondos. Sin custodiar tus activos. Descubre cómo funciona.