Por Canuto LayerZero cambió de tono frente al exploit que afectó a Kelp DAO y reconoció que cometió un error al permitir que su propia red de verificadores protegiera activos de alto valor bajo una configuración riesgosa. La admisión llega tras semanas de culpar al desarrollador y en medio de una pérdida visible de clientes hacia competidores como Chainlink.
***
- LayerZero pidió disculpas y asumió que permitió una configuración insegura de tipo 1-de-1 para transacciones de alto valor.
- La empresa aseguró que su protocolo no fue comprometido y atribuyó el exploit a un ataque contra infraestructura RPC interna usada por su DVN.
- Kelp y Solv Protocol ya están migrando parte de su infraestructura a otras soluciones, en una señal de presión competitiva sobre LayerZero.
🚨 LayerZero admite error tras hack de Kelp DAO por USD $292 millones 🚨
Reconoce que su red de validadores operaba con una configuración vulnerable.
Atribuye el exploit a un ataque a su infraestructura RPC interna.
Kelp y Solv Protocol migran a competidores como Chainlink.… pic.twitter.com/kpSMOB6YJr
— Diario฿itcoin (@DiarioBitcoin) May 9, 2026
LayerZero reconoció que “cometió un error” en el caso del exploit que afectó a Kelp DAO por USD $292 millones, un giro importante después de varias semanas en las que había atribuido la responsabilidad principalmente al desarrollador. La empresa admitió que permitió que su propia red descentralizada de verificadores, o DVN, asegurara activos de alto valor bajo una configuración vulnerable.
La admisión fue publicada el viernes por la noche, hora de Estados Unidos, en un blog corporativo en el que la compañía también ofreció una disculpa. “Lo primero es lo primero: una disculpa tardía”, escribió LayerZero, marcando distancia de su postura inicial en torno al hack de abril, el cual ha sido vinculado a atacantes norcoreanos.
Hasta ahora, LayerZero había presentado el episodio como una falla de configuración a nivel de aplicación por parte de Kelp DAO. El argumento central de esa versión era que Kelp había optado por una estructura arriesgada de seguridad “1-de-1”, en la que una sola red DVN bastaba para aprobar transferencias entre cadenas, creando así un punto único de falla.
Sin embargo, la propia empresa ahora sostiene que no debió permitir que su DVN operara como un validador único para transferencias de gran valor. “Cometimos un error al permitir que nuestro DVN actuara como un DVN 1/1 para transacciones de alto valor”, señaló la compañía en su comunicado.
Para entender el fondo del problema, conviene recordar que los puentes entre cadenas cumplen la función de conectar redes blockchain separadas. Esa infraestructura permite mover activos de un ecosistema a otro, pero también ha sido uno de los segmentos más vulnerables del mercado cripto durante años, debido a la complejidad técnica y a la concentración de riesgos en pocos puntos de validación.
Dentro de ese esquema, un DVN es parte de la infraestructura encargada de verificar si una transacción que traslada activos entre blockchains es legítima. Cuando la seguridad depende de un solo DVN, el sistema puede quedar expuesto si ese componente resulta comprometido o si su entorno operativo sufre un ataque exitoso.
LayerZero afirmó que justamente allí estuvo el error de criterio. “No controlamos lo que nuestro DVN estaba asegurando, lo que creó un riesgo que simplemente no vimos. Asumimos eso”, escribió la empresa. Esa frase resume una aceptación parcial de responsabilidad, aunque sin abandonar del todo su defensa de que los desarrolladores deben seguir siendo responsables de sus propias configuraciones de seguridad.
Según explicó la compañía, el protocolo LayerZero como tal no fue comprometido. La firma aseguró que el exploit estuvo relacionado con un ataque contra la infraestructura RPC interna utilizada por el DVN de LayerZero Labs, mientras proveedores externos de RPC enfrentaban al mismo tiempo ataques distribuidos de denegación de servicio.
Cambios en la configuración y respuesta de seguridad
Como parte de su respuesta, LayerZero Labs dijo que su DVN dejará de prestar servicio a configuraciones 1/1. Además, indicó que todos los valores predeterminados de todas las rutas están siendo migrados a esquemas 5/5 donde sea posible, y a no menos de 3/3 en aquellas cadenas donde solo haya tres DVN disponibles.
Ese cambio busca elevar de forma material los supuestos de seguridad en la validación de transferencias entre cadenas. En la práctica, pasar de un esquema 1/1 a configuraciones con varios verificadores reduce la posibilidad de que una sola falla técnica o un único vector de ataque habilite movimientos fraudulentos de fondos.
La compañía también reveló un incidente interno de seguridad ocurrido hace tres años y medio. Según detalló, uno de los firmantes de su multisig utilizó la billetera de hardware del multisig para una operación personal, cuando en realidad pretendía usar su propia billetera de hardware personal.
LayerZero fue categórica al evaluar esa conducta. “Esto obviamente no está bien”, indicó. La empresa añadió que ese firmante fue removido del multisig, que las billeteras fueron rotadas y que desde entonces actualizó sus prácticas de seguridad en torno a los dispositivos de firma.
Entre las medidas adicionales mencionó la incorporación de software localizado de detección de anomalías en cada dispositivo y la creación de un multisig personalizado llamado OneSig. Aunque ese punto no aparece como causa directa del exploit reciente, su inclusión en la explicación sugiere un esfuerzo de transparencia para responder a las dudas del mercado sobre la cultura interna de seguridad.
El reconocimiento de errores llega además en un momento delicado para la reputación comercial de la empresa. En mercados de infraestructura blockchain, la confianza no depende solo de la robustez técnica, sino también de la manera en que un proveedor comunica incidentes, distribuye responsabilidades y reacciona ante fallas operativas.
Presión competitiva y salida de clientes
Las consecuencias ya empezaron a reflejarse en el negocio. Kelp trasladó su puente rsETH al protocolo competidor de Chainlink, Cross-Chain Interoperability Protocol, en una decisión que puede interpretarse como una respuesta directa al deterioro de confianza tras el ataque.
El golpe no termina allí. Solv Protocol informó esta semana que está migrando más de USD $700 millones en infraestructura de bitcoin tokenizado fuera de LayerZero, luego de realizar una nueva revisión de seguridad. Ese movimiento amplifica la señal de alarma para otros clientes institucionales y protocolos que dependen de conectividad entre cadenas.
En términos estratégicos, el caso ilustra cómo los fallos en puentes y sistemas de interoperabilidad pueden reordenar rápidamente la competencia dentro del sector. Un incidente de esta magnitud no solo genera pérdidas o cuestionamientos técnicos, sino que abre la puerta para que rivales capten cuota de mercado con argumentos de seguridad y gobernanza más sólidos.
De acuerdo con la información publicada por CoinDesk, el cambio de tono de LayerZero representa un contraste marcado frente a las semanas previas de recriminaciones públicas con Kelp. Ese contexto hace que la disculpa no sea un detalle menor, sino una señal de que la presión reputacional y comercial ya produjo efectos tangibles.
Aun así, la empresa mantiene una línea defensiva importante. Aunque asumió que no debió permitir que su DVN asegurara activos de alto valor en una configuración vulnerable, también reiteró que, en última instancia, los desarrolladores conservan la responsabilidad de definir sus propios supuestos de seguridad.
Esa tensión entre responsabilidad del proveedor de infraestructura y responsabilidad del integrador probablemente seguirá en el centro del debate. En el ecosistema cripto, donde muchas aplicaciones se construyen sobre capas modulares de terceros, no siempre resulta sencillo establecer hasta dónde llega el deber de advertencia, supervisión o restricción por parte del proveedor base.
Por ahora, lo cierto es que LayerZero ya reconoció que hubo una falla de criterio en permitir una arquitectura insegura para activos de alto valor. En un entorno donde los puentes han sido históricamente objetivos frecuentes de atacantes, ese reconocimiento podría ser solo el primer paso en un proceso más largo de reconstrucción de confianza.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
Billeteras cripto se rediseñan para agentes de IA, dicen Trust Wallet y Mesh
Criptomonedas
Exatleta olímpico enfrenta cargos en Reino Unido por presunto fraude cripto
Criptomonedas
Comité Bancario del Senado fijó audiencia clave sobre la Clarity Act para el 14 de mayo
Análisis de mercado