El sábado 18 de abril, un puente cross-chain operado por Kelp DAO quietly bled 116,500 rsETH. Para el lunes, LayerZero had a name for the attackers. No era un nombre nuevo.
El Lazarus Group de Corea del Norte ya no es solo una etiqueta de hackers en cripto. Es la prueba más clara de que las operaciones cibernéticas estatales han convertido los activos digitales en un canal estratégico de financiación, donde las mayores brechas de la industria parecen cada vez menos errores aislados y más derrotas operacionales de largo ciclo.
- LayerZero atribuye el exploit de Kelp DAO del 18 de abril de 2026, valorado en unos 292 millones de dólares en tokens derivados de Ether (eth), al Lazarus Group de Corea del Norte y a su subunidad TraderTraitor.
- Chainalysis afirma que actores vinculados a la RPDC robaron 2.020 millones de dólares en cripto durante 2025, elevando su botín acumulado a 6.750 millones.
- El patrón apunta a una guerra operacional respaldada por el Estado más que a bugs aislados en smart contracts como la amenaza de seguridad dominante del sector.
El golpe a Kelp y por qué importa la atribución
LayerZero pinned el drenaje de Kelp DAO a un actor estatal en su informe póstumo del 20 de abril. La declaración lo calificó como el mayor exploit DeFi de 2026 y señaló “un actor estatal altamente sofisticado, probablemente el Lazarus Group de la RPDC, más específicamente TraderTraitor”.
El mecanismo no fue un bug de smart contract. Los atacantes comprometieron dos nodos de llamada a procedimiento remoto (RPC) usados por la Decentralized Verifier Network de LayerZero, y luego lanzaron un ataque de denegación de servicio contra los nodos limpios para forzar el failover hacia los nodos envenenados.
Eso dejó la configuración de verificador 1-de-1 de Kelp estampando como válidos mensajes cross-chain fraudulentos, y el puente liberó 116.500 rsETH al atacante.
Kelp paused los contratos principales mediante su multisig de emergencia unos 46 minutos después, bloqueando otros dos intentos de drenaje por valor de otros 100 millones de dólares.
Kelp cuestionó públicamente el encuadre de LayerZero, afirmando que la configuración de verificador único reflejaba el valor predeterminado documentado por la propia LayerZero, y no la desobediencia de un consejo explícito.
La atribución es lo que convierte esto en algo más que un incidente de “parchar y seguir adelante”. Un bug invita a una corrección. Un actor estatal invita a un adversario permanente.
También lee: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Quién es realmente Lazarus
El FBI placed al clúster TraderTraitor dentro del aparato cibernético estatal de Corea del Norte en su aviso del 26 de febrero de 2025 sobre el robo a Bybit, nombrándolo como operador directo de un atraco de 1.500 millones de dólares en activos virtuales.
Informes de Reuters de 2022 y repetidas sanciones del Departamento del Tesoro de EE. UU. tied previamente a Lazarus, Bluenoroff y Andariel con la Reconnaissance General Bureau, la principal agencia de inteligencia militar de Pionyang.
Dentro de esa estructura, los analistas siguen un conjunto rotatorio de alias —APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor— que a menudo comparten personal e infraestructura.
La consecuencia para las criptomonedas es directa.
Cuando una brecha se atribuye a “Lazarus”, no se trata de un adolescente en un sótano ni, por lo general, de un contratista aislado. Es una unidad estatal con presupuesto, mandato y un horizonte de paciencia medido en años, no en semanas.
Eso cambia lo que cuenta como defensa creíble. También cambia quién, al final de la cadena de lavado, es el beneficiario último.
También lee: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
De Sony a los smart contracts
Lazarus no empezó en cripto. Se dio a conocer con el ataque wiper a Sony Pictures en 2014, luego con el atraco vía SWIFT al Banco de Bangladesh en 2016 y con WannaCry en 2017.
Las criptomonedas llegaron después, y rápido.
El Servicio Nacional de Inteligencia de Corea del Sur told a Associated Press en diciembre de 2022 que hackers norcoreanos habían robado unos 1.200 millones de dólares en activos virtuales en cinco años.
Un informe del Panel de Expertos de la ONU revealed 58 supuestos ciberataques de la RPDC entre 2017 y 2023, valorados en unos 3.000 millones de dólares y destinados a financiar los programas de armas de destrucción masiva de Pionyang.
Las últimas cifras de Chainalysis elevan aún más esa línea acumulativa: 6.750 millones de dólares en robos cripto vinculados a la RPDC identificados hasta la fecha, con 2.020 millones sustraídos solo en 2025.
La trayectoria es la historia. Cada año hay menos incidentes, pero más grandes. La industria se hizo más rica, los objetivos se hicieron mayores y Lazarus escaló al mismo ritmo.
También lee: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
Los mayores golpes vinculados a Lazarus
El Tesoro de EE. UU. updated sus sanciones contra Lazarus con direcciones de monedero vinculadas al drenaje del puente Ronin en marzo de 2022, atribuyendo unas pérdidas de 625 millones de dólares a actores de la RPDC.
Una lista breve muestra la escala:
- Ronin Network, marzo de 2022: unos 625 millones de dólares drenados del puente sidechain de Axie Infinity, atribuido a Lazarus por la OFAC del Tesoro semanas después.
- Harmony Horizon, junio de 2022: unos 100 millones de dólares robados, atribuidos formalmente a Lazarus y APT38 por el FBI en enero de 2023.
- WazirX, julio de 2024: unos 235 millones de dólares sustraídos del exchange indio en un compromiso de multisig ampliamente atribuido a actores vinculados a la RPDC.
Luego llegó el año de la consolidación.
DMM Bitcoin perdió 4.502,9 Bitcoin (btc), valorados en unos 308 millones de dólares en ese momento, en mayo de 2024. El FBI, el Departamento de Defensa y la Agencia Nacional de Policía de Japón confirmed el vínculo con TraderTraitor en diciembre, describiendo un señuelo de “reclutamiento” que comprometió a un proveedor de software de monedero y culminó en una retirada manipulada.
Bybit, en febrero de 2025, fue el punto máximo.
Un atacante enmascaró la interfaz de firma durante una transferencia rutinaria de cold wallet y redirigió unos 400.000 Ether, valorados en unos 1.500 millones de dólares, a una dirección desconocida.
Chainalysis sitúa ahora ese único incidente en 1.500 millones de los 3.400 millones robados en toda la industria en 2025. Kelp, con 292 millones, es el último capítulo, no el más sonado. Es el aspecto de una operación madura cuando ya no necesita espectáculo.
También lee: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
El manual de Lazarus ha cambiado
El FBI y Japón detailed el nuevo patrón de Lazarus en su aviso conjunto sobre DMM Bitcoin. La vieja imagen de Lazarus como una fábrica de phishing ha quedado obsoleta.
Un hacker se hizo pasar por reclutador de LinkedIn. Una falsa prueba previa a la contratación instaló un script malicioso en Python en el GitHub personal de un ingeniero de Ginco, un proveedor de software de monedero. Cookies de sesión robadas abrieron el chat interno de Ginco y, semanas después, una solicitud legítima de transacción de DMM fue reescrita silenciosamente en tránsito.
En Bybit, Safe{Wallet} confirmed que aplicaciones de firma modificadas con malware mostraban el destino correcto mientras alteraban la lógica del smart contract por debajo. En Kelp, LayerZero afirma que los atacantes sustituyeron los binarios en los mismos nodos RPC en los que confiaba el verificador, diseñados para autodestruirse y borrar los registros locales tras su uso.
El hilo común es que, rara vez, el código es la vulnerabilidad. Lo son las personas, los proveedores, las cadenas de construcción y los hosts de infraestructura.
Chainalysis también ha señalado un canal paralelo: operativos de la RPDC que se incrustan en empresas cripto como trabajadores remotos de TI bajo identidades falsas, a veces usando colaboradores contratados a través de Upwork y Freelancer para escalar.
También lee: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
Por qué Lazarus vuelve una y otra vez a las criptomonedas
El motivo de Corea del Norte es la supervivencia económica, no la ideología.
Informes de AP y la ONU describen de forma consistente describe el robo de criptomonedas como una fuente de ingresos sustitutiva para una economía sancionada y como financiación directa de los programas de misiles balísticos y nucleares.
Funcionarios estadounidenses citados por AP han ido más lejos, estimando que el cibercrimen representa ya cerca de la mitad de los ingresos en divisas de Corea del Norte.
Las criptomonedas resultan ser el objetivo casi perfecto para esa misión. Las transacciones se liquidan con carácter definitivo en minutos, no días, por lo que no hay un banco corresponsal que pueda revertirlas. La liquidez es profunda, el seudonimato es barato y las vías cross-chain mueven valor más rápido de lo que cualquier organismo de cumplimiento puede congelarlo.
Yahoo Finance noted, citando el propio cronograma de LayerZero sobre Kelp, que el atacante consolidó unos 74.000 Ether tras el drenaje y había prefinanciado monederos a través de Tornado Cash unas diez horas antes de golpear.
Para un gobierno que sopesa un atraco a un banco frente a un atraco a un puente, el puente gana. cada vez.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
Lo que realmente aportaron los investigadores onchain
Arkham credited al investigador seudónimo ZachXBT con una "prueba definitiva" que vincula el exploit de Bybit con Lazarus mediante transacciones de prueba, monederos conectados y análisis de tiempos, en su publicación de recompensa del 21 de febrero de 2025.
Cinco días después, el anuncio de servicio público del FBI nombró formalmente a Corea del Norte, utilizando la etiqueta TraderTraitor y publicando listas de bloqueo de monederos.
El orden importa. Investigadores onchain como ZachXBT han sido a menudo de los primeros en conectar públicamente grandes brechas con monederos vinculados a Lazarus y patrones de blanqueo, a veces antes de la confirmación oficial.
No son la fuente central de la verdad. Son una capa temprana de atribución pública que acelera la respuesta a nivel de exchanges mientras las agencias federales llevan a cabo procesos más lentos y con estándares probatorios.
Esa división del trabajo es nueva. Y además es estructural, porque una vez que los fondos robados empiezan a rebotar entre cadenas, la única pregunta es con qué rapidez se marcan las direcciones.
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
Por qué el sector sigue perdiendo estas batallas
La mayoría de los debates sobre seguridad en cripto siguen centrados en auditorías de código. A Lazarus no le importan las auditorías.
La superficie de ataque que realmente importa es operativa. Incluye herramientas de firma de terceros, proveedores de monederos, infraestructura de nodos, canales de reclutamiento, sistemas de build y un puñado de personas con acceso privilegiado. Cada uno de esos elementos estuvo presente en al menos una brecha vinculada a Lazarus en los últimos dos años.
Chainalysis reports un segundo problema estructural: el ciclo de blanqueo se ha afinado hasta un patrón de tres oleadas de unos 45 días que hace pasar los fondos robados por mezcladores, puentes cross-chain y redes OTC en chino, moviendo tramos en bloques que a menudo se mantienen por debajo de los 500.000 dólares para evitar activar sistemas de monitorización.
La respuesta de la industria sigue fragmentada. Los exchanges añaden a listas negras a diferentes velocidades. Algunos protocolos DeFi se pausan, otros no.
Un análisis en Dune tras el incidente found que el 47% de las OApps activas de LayerZero seguían usando configuraciones DVN de 1-de-1.
El defensor tiene que ganar todas las semanas. A Lazarus solo le basta ganar una vez por trimestre.
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Lo que Kelp indica sobre la siguiente fase
La incómoda conclusión de Kelp es que, incluso después de Bybit, la brecha entre seguridad de código y seguridad operativa sigue siendo amplia.
Bybit fue un compromiso de la interfaz de firma con un balance de 20.000 millones de dólares detrás. Kelp fue un compromiso a nivel de infraestructura contra un protocolo de liquid restaking de tamaño medio.
El mismo clúster de actores, distinto vector de ataque, con dieciocho días de diferencia respecto al anterior Drift Protocol drain of roughly $285 million también vinculado a operativos de la RPDC.
Ese ritmo es la clave. Lazarus está iterando su manual más rápido de lo que los equipos DeFi están endureciendo sus dependencias, y cada golpe exitoso financia la siguiente ronda de reclutamiento, herramientas y paciencia.
The Hacker News reported que actores vinculados a la RPDC representaron el 59% de todo el cripto robado a nivel global en 2025, lo que subraya lo central que se ha vuelto este adversario para las pérdidas del sector.
Decisiones de configuración como esquemas de verificador único, operadores de nodos no auditados y software de monedero compartido ya no son factores de riesgo menores. En un mundo donde el adversario es un Estado, son el evento principal.
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
Conclusión
Lazarus es la evidencia de que los mayores fallos de seguridad de cripto son ahora geopolíticos, financieros e infraestructurales al mismo tiempo.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit y ahora Kelp no forman una lista de accidentes no relacionados. Forman una campaña, dirigida por un gobierno sancionado contra una industria que aún subestima cómo se ve un adversario estatal persistente.
El próximo Kelp ya se está planificando. La pregunta es si la industria lo trata como un informe de bug o como una línea de frente.
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
Preguntas frecuentes
¿Qué ocurrió en el hackeo de Kelp DAO?
El 18 de abril de 2026, los atacantes drenaron 116.500 rsETH, por un valor aproximado de 292 millones de dólares, de un puente cross-chain operado por Kelp DAO. El exploit no se dirigió a un bug de smart contract. En su lugar, los atacantes comprometieron dos nodos de llamada a procedimiento remoto utilizados por la Decentralized Verifier Network de LayerZero, luego forzaron una conmutación por error para que un nodo envenenado diera el visto bueno a un mensaje cross-chain fraudulento. El multisig de emergencia de Kelp pausó los contratos centrales 46 minutos después, bloqueando dos intentos de drenaje posteriores por un total combinado de otros 100 millones de dólares.
¿Quién es el Grupo Lazarus?
Lazarus es la etiqueta paraguas para actores cibernéticos vinculados al Estado norcoreano, asociados por el Departamento del Tesoro de EE. UU. y el FBI con la Oficina General de Reconocimiento, la principal agencia de inteligencia militar de Pyongyang. Los analistas siguen varios subclústeres y alias bajo ese mismo paraguas, incluidos TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet y Slow Pisces. Estos clústeres a menudo comparten infraestructura y personal.
¿Por qué LayerZero atribuyó el exploit de Kelp a Lazarus?
El post-mortem de LayerZero señaló que la pericia operativa del atacante y el comportamiento de sus monederos eran característicos de un actor estatal, concretamente de la subunidad TraderTraitor de Lazarus. La prefinanciación a través de Tornape Cash unas diez horas antes del ataque, el uso de binarios autodestructivos en la infraestructura comprometida y la consolidación posterior al drenaje de unos 74.000 Ether coinciden con patrones documentados en exploits anteriores vinculados a la RPDC.
¿Cuánto cripto ha robado Corea del Norte en total?
Chainalysis identifica 6.750 millones de dólares en robos de cripto vinculados a la RPDC hasta la fecha. De esa cantidad, 2.020 millones se robaron solo en 2025, lo que representó aproximadamente el 59% de todo el cripto robado globalmente ese año. Informes anteriores del Servicio de Inteligencia Nacional de Corea del Sur situaban el total de cinco años hasta 2022 en unos 1.200 millones de dólares, mientras que un Panel de Expertos de la ONU investigó 58 presuntos ciberataques de la RPDC entre 2017 y 2023 por un valor aproximado de 3.000 millones.
¿Qué es TraderTraitor?
TraderTraitor es un subclúster de Lazarus especializado en objetivos dentro de la industria cripto. Su jugada característica es la ingeniería social contra personal técnico, a menudo mediante falsas propuestas de reclutamiento en LinkedIn, pruebas previas al empleo con malware y compromiso de proveedores de software de monederos o de infraestructura de firma. El FBI, el Departamento de Defensa y la Agencia Nacional de Policía de Japón nombraron formalmente a TraderTraitor en el robo de 308 millones de dólares a DMM Bitcoin, y el FBI lo señaló más tarde de nuevo como operador del atraco de 1.500 millones de dólares a Bybit.
¿Cuáles son los mayores hackeos cripto vinculados a Lazarus?
Los incidentes de mayor envergadura atribuidos públicamente incluyen Ronin Network en marzo de 2022 por unos 625 millones de dólares, Harmony Horizon en junio de 2022 por unos 100 millones, WazirX en julio de 2024 por unos 235 millones, DMM Bitcoin en mayo de 2024 por unos 308 millones, Bybit en febrero de 2025 por unos 1.500 millones y Kelp DAO en abril de 2026 por unos 292 millones.
¿Cómo blanquea Lazarus el cripto robado?
Chainalysis describe un ciclo de blanqueo refinado de aproximadamente 45 días y tres oleadas. Los fondos robados se mueven a través de mezcladores, puentes cross-chain y redes OTC en chino, a menudo divididos en tramos mantenidos por debajo de los 500.000 dólares para evitar sobrepasar umbrales de monitorización. El objetivo es adelantarse a las listas negras de exchanges y a la analítica onchain antes de que los fondos lleguen a los puntos de salida a fiat.
¿Por qué Corea del Norte apunta al cripto?
El robo de cripto funciona como una vía de ingresos para evasión de sanciones en la economía aislada de Pyongyang y como financiación directa de sus programas de misiles balísticos y nucleares, según informes de un Panel de Expertos de la ONU y funcionarios estadounidenses citados por AP. Estimaciones de EE. UU. sugieren que el cibercrimen representa ya cerca de la mitad de los ingresos en divisas de Corea del Norte. Las redes cripto se ajustan a la misión porque las transacciones se liquidan con finalidad en cuestión de minutos y no pueden revertirse por un banco corresponsal.
¿Quién es ZachXBT y qué papel desempeñó?
ZachXBT es un investigador onchain seudónimo cuyo trabajo público de atribución se ha adelantado repetidamente a la confirmación formal de gobiernos. En el caso de Bybit, la publicación de recompensa de Arkham del 21 de febrero de 2025 le atribuyó el análisis de vinculación de transacciones que relacionó el exploit con Lazarus, cinco días antes de que el FBI nombrara formalmente a Corea del Norte. Investigadores onchain como ZachXBT forman una capa temprana de atribución pública, no un sustituto de los investigadores federales, pero sí una capa más rápida para la respuesta a nivel de exchange.
¿Puede la industria cripto detener a Lazarus?
No solo con auditorías de código. La superficie de ataque que importa es operativa, incluyendo herramientas de firma de terceros, proveedores de monederos, infraestructura de nodos, canales de reclutamiento y sistemas de build. Un análisis en Dune tras el incidente de Kelp encontró que el 47% de las OApps activas de LayerZero seguían usando configuraciones de verificador 1-de-1, que es precisamente la configuración que permitió el exploit de Kelp. Endurecer esa capa —a través de proveedores, hosts de infraestructura y accesos humanos— es donde se concentran ahora las posibles mejoras defensivas.
¿Es seguro usar Kelp DAO ahora?
Kelp pausó los contratos centrales a través de su mecanismo de emergencia.multisig dentro de los 46 minutos posteriores a la detección, lo que bloqueó dos intentos adicionales de drenaje. Los usuarios deben consultar los canales oficiales de incidentes de Kelp y LayerZero para conocer el estado actual del contrato, cualquier programa de recuperación o reembolso y las configuraciones actualizadas de verificadores antes de reanudar la actividad.
¿Cuál es la diferencia entre Lazarus y TraderTraitor?
Lazarus es el paraguas. TraderTraitor es un subgrupo especializado dentro de ese paraguas, centrado en objetivos de la industria cripto y conocido por su ingeniería social contra ingenieros y proveedores de software de monederos. Cuando el FBI atribuye un ataque específicamente a TraderTraitor, está nombrando a la unidad operativa, no solo al ecosistema más amplio vinculado al estado.