Agentes durmientes de la RPDC en DeFi: cómo los hackers construyeron en secreto SushiSwap y Fantom durante 7 años

La industria cripto se enfrenta a una realidad que parece sacada de un thriller de espionaje: desarrolladores norcoreanos se han infiltrado en los principales protocolos descentralizados durante años. Lo que comenzó como incidentes aislados ha resultado ser una estrategia masiva a nivel estatal.

Siete años en las sombras: cómo los agentes de la RPDC construyeron el ecosistema DeFi

Revelaciones recientes de expertos en ciberseguridad han arrojado luz sobre la profundidad de la penetración norcoreana en el sector de las finanzas descentralizadas. Según Taylor Monahan, desarrolladora de MetaMask, trabajadores de TI de la RPDC han participado en la creación de protocolos populares desde al menos 2020, el periodo conocido como el "verano DeFi".

“Muchos de los protocolos que conoces y amas fueron construidos por ellos. Los siete años de experiencia en desarrollo de blockchain en sus currículos no son una mentira”, enfatizó Monahan. La lista de proyectos cuyo código pudo haber sido tocado por agentes de Pyongyang incluye gigantes como SushiSwap, Thorchain, Fantom, Yearn, Shiba Inu y Floki.

Camuflaje e ingeniería social: la experiencia del agregador de Solana, Titan

Los métodos de infiltración son cada vez más sofisticados. El fundador del agregador Titan, Tim Ahl, compartió la historia de un candidato que estaba altamente calificado y no tenía problemas para aparecer en videollamadas. El engaño solo se descubrió cuando el desarrollador se negó rotundamente a una reunión presencial.

Más tarde se supo que este especialista estaba vinculado al infame Lazarus Group. Según Ahl, el grupo ha comenzado a reclutar agentes que no son ciudadanos de la RPDC para ganarse personalmente la confianza de los equipos de proyectos cripto, eludiendo los filtros iniciales.

El hackeo de 280 millones de dólares a Drift Protocol: el precio del descuido

Otra confirmación de la amenaza provino del equipo de Drift Protocol, que perdió 280 millones de dólares en un ataque. La investigación mostró que hackers norcoreanos estaban detrás de la brecha, explotando vulnerabilidades plantadas o descubiertas durante la interacción cercana con la infraestructura del proyecto.

Clasificación de amenazas: la perspectiva de ZachXBT

El renombrado detective de blockchain ZachXBT insta a la comunidad a no demonizar al "Lazarus Group" como una sola entidad, sino a categorizar las amenazas por su complejidad. En su opinión, los esquemas estándar a través de LinkedIn, Zoom o campañas de correo electrónico son “primitivos”. Su principal herramienta sigue siendo la persistencia, no el genio técnico.

¿Quién representa el verdadero peligro?

Según el análisis de ZachXBT, dos grupos especializados destacan entre la masa general de trabajadores de TI:
1. TraderTraitor: especializados en ataques complejos y dirigidos contra empleados de empresas cripto.
2. AppleJeus: expertos en la creación de malware disfrazado de plataformas o herramientas de trading.

Cómo proteger un proyecto: lecciones para la industria

La situación requiere que la comunidad DeFi reconsidere los enfoques de contratación y seguridad:

Verificación exhaustiva de antecedentes: Una videollamada y una cuenta de GitHub sólida ya no son suficientes.
Auditorías de código multinivel: Cualquier cambio realizado, incluso por desarrolladores "de confianza", debe someterse a una revisión independiente.
Descentralización de los derechos de acceso: Ningún empleado anónimo o remoto debe tener control total sobre los contratos inteligentes o las claves privadas.

El problema de la "amenaza interna" de la RPDC resalta la fragilidad de la confianza en el entorno anónimo de la Web3. El profesionalismo y la vigilancia se están convirtiendo en las únicas barreras contra el ciberespionaje patrocinado por el Estado.