El robo DeFi de Corea del Norte (290M) se expande—mientras Apple y Aave se preparan para el golpe

El sábado, el proyecto DeFi KelpDAO sufrió un robo cripto reportado de 290 millones de dólares, con varios reportes apuntando a que hackers norcoreanos patrocinados por el Estado serían los responsables más probables. CoinDesk señala que el “manual” más amplio parece estar ampliándose: más de 500 millones de dólares fueron extraídos entre los exploits de Drift y Kelp en apenas un poco más de dos semanas, transformando lo que al principio parecía brechas aisladas en una campaña sostenida. Por separado, CoinDesk informa que Aave podría enfrentar pérdidas de hasta 230 millones de dólares después de que el exploit del puente de Kelp DAO desatara el caos en DeFi, y el impacto final dependería de cómo Kelp asigne el déficit entre la exposición a rsETH y las capas Layer 2. En paralelo, BleepingComputer reporta que la App Store de Apple en China fue infiltrada por 26 aplicaciones maliciosas que suplantaban carteras populares, diseñadas para robar frases de recuperación o seed phrases y drenar activos cripto. Geopolíticamente, el conjunto conecta la extracción financiera habilitada por ciberataques con la presión estratégica que enfrentan los Estados bajo sanciones, con Corea del Norte emergiendo como el actor central en múltiples incidentes de DeFi. La lectura es que el cumplimiento de sanciones no solo está moldeando el comportamiento estatal por vías legales y financieras, sino que también empuja a los adversarios hacia flujos de ingresos ilícitos escalables mediante automatización, ingeniería social y explotación a nivel de protocolos. La narrativa de “manual en expansión” sugiere un ciclo de aprendizaje: los atacantes iteran sobre objetivos (Drift, Kelp y la infraestructura DeFi adyacente), elevando el ritmo operativo y reduciendo el tiempo disponible para que los defensores apliquen parches. Mientras tanto, la infiltración en la App Store indica que la amenaza no se limita a exploits on-chain; también ataca puntos de entrada off-chain de los usuarios, ampliando potencialmente el universo de víctimas y acelerando el robo de activos. En términos de mercado, la reacción inmediata parece mixta: CoinDesk reporta que Bitcoin rebotó por encima de los 76.000 dólares, incluso cuando DeFi registró una salida de liquidez reportada de 14.000 millones de dólares tras el hack de KelpDAO, señalando un comportamiento de aversión al riesgo dentro de la liquidez nativa cripto. Las estimaciones de exposición de Aave—aproximadamente 123 millones si las pérdidas se comparten ampliamente entre rsETH, o hasta 230 millones si quedan confinadas a Layer 2—subrayan cómo los mecanismos de puentes y colateral pueden transmitir pérdidas a través de grandes carriles de préstamo en DeFi. La magnitud de las salidas presiona la demanda de stablecoins, la utilización de préstamos y las posiciones apalancadas, mientras que la presión vendedora vinculada a exploits puede derramarse hacia la liquidez general en exchanges. Aunque los artículos no cuantifican movimientos de FX, la dirección para los benchmarks cripto es clara: mayor volatilidad y fragmentación de liquidez, con tokens específicos de DeFi y activos ligados a préstamos probablemente con peor desempeño que BTC en el corto plazo. Lo siguiente a vigilar es la ruta de asignación y liquidación del déficit de KelpDAO, porque el rango final de pérdidas de Aave depende de cómo Kelp distribuya el faltante entre rsETH y la exposición a Layer 2. Hay que monitorear si puentes adicionales, activos envueltos o protocolos dependientes muestran colas de redención anómalas, desviaciones de oráculos o retiros de liquidez que confirmarían contagio más allá de Kelp. En la vertiente de ataques a usuarios, conviene seguir los tiempos de retirada y los indicadores forenses de las 26 apps maliciosas en la App Store de Apple, incluyendo si aparecen campañas similares de suplantación en otros ecosistemas de aplicaciones. Por último, el incidente de seguridad de Vercel—donde la brecha comenzó con malware disfrazado de cheats de Roblox y los atacantes se movieron por sistemas internos para robar credenciales—añade un vector de riesgo paralelo: incluso si los exploits on-chain se frenan, la filtración de credenciales off-chain puede acelerar el secuestro de cuentas y el robo cripto aguas abajo. Los disparadores de escalada incluyen nuevos anuncios de exploits en cuestión de días, pérdidas adicionales confirmadas en otros protocolos y evidencia de que credenciales robadas se están usando para automatizar interacciones DeFi.

Implicaciones Geopolíticas

• 01

  La presión de las sanciones probablemente está empujando a actores vinculados al Estado hacia ciberfinanzas ilícitas escalables mediante DeFi y la ingeniería social basada en apps.

• 02

  Una campaña de explotación sostenida y en expansión eleva el riesgo sistémico para la infraestructura cripto y complica los ciclos de parcheo defensivo.

• 03

  El ataque multi-vector (on-chain, App Store y credenciales en la nube) sugiere un modelo operativo más amplio con capacidad de escalar con rapidez.

Señales Clave

• —Detalles sobre cómo KelpDAO asigna el déficit y si las pérdidas se propagan a otros pools de colateral.
• —Anomalías on-chain en puentes, oráculos y colas de redención que indiquen contagio más allá de Kelp.
• —Velocidad y exhaustividad de las retiradas de las 26 apps maliciosas, además de indicadores de campañas posteriores.
• —Evidencia de uso indebido de credenciales derivado de la brecha de Vercel y de secuestros de cuentas resultantes.