Conclusiones clave
LayerZero Labs ha detallado el exploit del 18 de abril que drenó aproximadamente 292 millones de dólares del puente rsETH de KelpDAO, atribuyendo la pérdida a una infraestructura RPC comprometida y a una configuración de seguridad con un punto único de falla.
"El incidente se limitó a la configuración rsETH de KelpDAO porque la aplicación dependía de una configuración DVN 1 de 1 con LayerZero Labs como único verificador", afirmó LayerZero en su informe post-mortem, señalando que esto contradecía sus recomendaciones de seguridad vigentes.
Los atacantes robaron aproximadamente 116,500 rsETH al envenenar dos nodos RPC para alimentar al verificador con datos de transacciones falsificados. Simultáneamente lanzaron un ataque DDoS sobre otros nodos, forzando una conmutación por error a la infraestructura comprometida y permitiendo la confirmación de retiros fraudulentos que nunca habían ocurrido en la cadena de origen.
El exploit, uno de los más grandes de 2026, ha obligado a LayerZero a finalizar el soporte para configuraciones de verificador único, empujando a todos los proyectos integrados hacia modelos de múltiples firmas para evitar que ataques similares a nivel de infraestructura creen pérdidas a nivel de protocolo. El análisis forense de firmas como Chainalysis ha vinculado el ataque al Grupo Lazarus, afiliado a Corea del Norte, específicamente al subgrupo TraderTraitor.
En su informe, LayerZero enfatizó que el ataque fue un compromiso de la infraestructura en lugar de una falla en su protocolo principal, contratos inteligentes o software DVN. Los atacantes obtuvieron acceso a la lista de RPC utilizados por el DVN de LayerZero Labs, comprometieron dos nodos y reemplazaron los binarios con código malicioso. Esto les permitió pasar mensajes falsificados al verificador mientras devolvían datos normales a los servicios de monitoreo, ocultando efectivamente el ataque mientras ocurría.
La respuesta inmediata de la empresa incluyó la depreciación de todos los nodos RPC afectados y el contacto con las autoridades. Más importante aún, LayerZero ha promulgado un cambio de política importante, declarando que su DVN "no firmará ni dará fe de mensajes de ninguna aplicación que utilice una configuración 1/1". La firma ahora está migrando activamente los proyectos de estas configuraciones de punto único de falla hacia modelos de multiverificador redundantes.
Este incidente es parte de una tendencia mayor de exploits dirigidos a los componentes fuera de la cadena y centralizados de los protocolos DeFi. Un ataque similar ocurrió el 19 de mayo, cuando Echo Protocol perdió aproximadamente 816,000 dólares después de que una clave de administrador comprometida permitiera a un atacante acuñar eBTC no autorizados en su despliegue de Monad. Misha Putiatin, cofundador de la firma de seguridad Statemind, señaló que a medida que DeFi se vuelve más dependiente de la infraestructura fuera de la cadena, la industria está viendo un aumento en los "ataques estilo Web2.5" dirigidos a la gestión de claves y la infraestructura operativa.
El hackeo de KelpDAO se posiciona como uno de los más significativos del año, superando el exploit de 285 millones de dólares de Drift Protocol en abril. Sirve como un crudo recordatorio de que incluso con contratos inteligentes seguros, la seguridad de un protocolo es tan fuerte como su eslabón fuera de la cadena más débil. El movimiento de LayerZero para imponer estándares de seguridad más estrictos a sus usuarios es una admisión de que las opciones de configuración permisivas pueden crear un riesgo sistémico.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
