Puntos claves de la noticia
- Hackers vinculados a Corea del Norte robaron $2.020M en crypto en 2025, $6.750M acumulados.
- Representan el 76% del valor robado en compromisos de servicios.
- El lavado post-robo sigue un ciclo de 45 días con puentes y mezcladores, no préstamos DeFi.
Un reporte reciente de Chainalysis atribuye a hackers vinculados al gobierno de la República Popular Democrática de Corea (DPRK) robos por al menos 2.02 mil millones de dólares en cripto durante 2025. La firma agrega otro dato: el monto acumulado de pérdidas asociadas a actores DPRK alcanza 6.75 mil millones de dólares.
Además, Chainalysis describe una concentración clara en la forma de atacar. Los grupos DPRK representan 76% de los compromisos de servicios medidos por la firma. En lugar de muchos incidentes pequeños, los atacantes ejecutan golpes de gran tamaño y luego activan ciclos de lavado que duran cerca de 45 días.
Sin embargo, el informe marca una diferencia cuando el rastro entra en DeFi. Chainalysis observa que los grupos DPRK usan protocolos de préstamo DeFi con mucha menos frecuencia que otros actores criminales. La brecha llega a 80%. La lectura central apunta a una preferencia operativa: menos uso de préstamos para intercambiar y ocultar fondos robados, más uso de otras rutas.
Eric Jardine, jefe de investigación en Chainalysis, pone el matiz en términos comparativos. Jardine explica que el patrón refleja una tendencia relativa, no una ausencia total. Otros actores que roban fondos recurren más a los préstamos DeFi. Jardine también indica que los atacantes DPRK muestran preferencia por servicios que facilitan “capas” de ocultamiento, como mixers y bridges.
Puentes, mezcladores y servicios en chino dentro del ciclo de 45 días
En cambio, Chainalysis ubica el peso del lavado DPRK en bridges, mixers y servicios de lavado en idioma chino. El reporte asocia esa ruta con un ciclo de cerca de 45 días después de robos de gran escala. La descripción sugiere una rutina: robo, dispersión, saltos entre redes, mezcla de fondos y salida por canales que dificultan el rastreo directo.
Por otra parte, el documento resalta una divergencia conductual frente a otros atacantes. Parte del crimen cripto usa préstamos DeFi para convertir activos, mover colateral y confundir la trazabilidad. Los grupos DPRK, según Chainalysis, muestran un patrón distinto y sostienen la preferencia por herramientas orientadas a “capas” de transferencia y ofuscación.
De hecho, la comparación importa porque el mercado DeFi crece en tamaño. Datos de DefiLlama muestran que el valor total bloqueado (TVL) sube de cerca de 50 mil millones de dólares en 2024 a casi 175 mil millones hacia octubre de 2025. La cifra roza niveles cercanos a los máximos de 2021.
A la vez, Chainalysis registra pérdidas por hackeo en niveles bajos durante 2025, aun con el avance del TVL. La firma interpreta esa combinación como una señal de mejora en controles y defensas dentro de protocolos DeFi, en comparación con 2020 y 2021.
El reporte deja una idea práctica para el análisis de riesgo
El crecimiento del TVL no implica, por sí solo, un aumento proporcional en robos exitosos durante 2025. La cifra de robos DPRK ocurre en paralelo a un mercado DeFi más grande, pero con pérdidas agregadas por hackeo que no crecen al mismo ritmo, según la lectura de Chainalysis.
Por último, la preferencia DPRK por mixers, bridges y servicios de lavado en chino dibuja una sombra sobre el monitoreo de flujos entre cadenas. El problema ya no pasa solo por custodias o fallas puntuales.
