TL;DR
Los hackers vinculados a la DPRK robaron $2.02 mil millones en criptomonedas en 2025, $6.75 mil millones acumulativos.
Representan el 76% del valor robado de las compromisos de servicio.
El lavado posterior al robo sigue un ciclo de 45 días utilizando puentes y mezcladores, no préstamos DeFi.
Chainalysis informa que los hackers vinculados al gobierno de la República Popular Democrática de Corea (DPRK) robaron al menos $2.02 mil millones en criptomonedas durante 2025. Chainalysis también coloca las pérdidas acumulativas vinculadas a la actividad de la DPRK en $6.75 mil millones.
El informe describe un patrón concentrado de ataques. Los grupos vinculados a la DPRK representan el 76% de las compromisos de servicio rastreados por Chainalysis, incluso con menos incidentes confirmados en general. Los grupos ejecutan robos más grandes y menos frecuentes y luego realizan ciclos de lavado que duran aproximadamente 45 días después de las violaciones importantes.
Chainalysis destaca una clara división en el comportamiento dentro de DeFi. Los actores vinculados a Corea del Norte utilizan los protocolos de préstamo DeFi mucho menos que otros grupos criminales. Chainalysis mide una brecha del 80% en comparación con actores no vinculados a Corea del Norte, lo que apunta a una preferencia por rutas de lavado alternativas en lugar de un uso rutinario de lugares de préstamo para intercambiar y oscurecer fondos robados.
Eric Jardine, jefe de investigación en Chainalysis, enmarca el patrón como una preferencia relativa. Jardine dice que otros actores que roban fondos utilizan protocolos de préstamo con más frecuencia, mientras que los atacantes vinculados a Corea del Norte prefieren otros servicios para el apilamiento, incluidos mezcladores y puentes. Jardine agrega que el uso de préstamos por parte de grupos vinculados a Corea del Norte no cae a cero, sin embargo, los datos muestran una inclinación constante hacia otras herramientas.
Los puentes, mezcladores y servicios de lavado de dinero en chino impulsan el ciclo de 45 días
Chainalysis vincula el lavado de dinero de actores vinculados a Corea del Norte a puentes, mezcladores y servicios de lavado de dinero en chino, con un ciclo recurrente de 45 días después de grandes robos. El informe describe un flujo de trabajo que mueve fondos a través de cadenas, rompe la trazabilidad a través de la mezcla y canaliza los ingresos a través de servicios que se especializan en el lavado. La secuencia se lee como un metrónomo: robo, dispersión, transferencias entre cadenas, mezcla y pasos de retiro que complican la atribución.
Al mismo tiempo, el crecimiento del mercado en DeFi no se traduce en un salto comparable en las pérdidas por hackeo reportadas durante 2025, según Chainalysis. Los datos de DefiLlama muestran que el valor total bloqueado (TVL) aumenta de aproximadamente $50 mil millones en 2024 a casi $175 mil millones para octubre de 2025, cerca de los niveles vistos por última vez durante 2021.
Chainalysis observa que las pérdidas por hackeo se mantienen bajas incluso cuando el TVL aumenta
La empresa vincula la combinación a prácticas de seguridad más fuertes en los protocolos DeFi en comparación con el período 2020–2021. Los desarrolladores endurecen el código, los equipos amplían las auditorías y los operadores refuerzan la vigilancia, según la explicación del informe.
Los hallazgos desvían la atención hacia la fase posterior al robo. Los grupos vinculados a Corea del Norte muestran disciplina en la ejecución del lavado, no solo en los métodos de intrusión. El informe enfatiza la elección de herramientas: puentes y mezcladores sobre protocolos de préstamo—y en el momento, con ventanas de lavado repetibles de 45 días después de grandes ataques. En un mercado que cada vez más rastrea el rendimiento medible, la ruta de lavado se convierte en la huella digital.