Por Canuto El exploit contra Kelp DAO por USD $290 millones no habría nacido de una falla directa en LayerZero, sino de una decisión de seguridad que dejó al puente de rsETH expuesto. La investigación preliminar apunta además al grupo norcoreano Lazarus, que habría combinado compromiso de nodos RPC y un ataque DDoS para ejecutar una operación cada vez más sofisticada contra DeFi.
***
- LayerZero afirmó que Kelp operaba una configuración de verificador 1-de-1, pese a recomendaciones previas para usar múltiples verificadores.
- Los atacantes comprometieron dos nodos RPC y lanzaron un DDoS contra nodos externos para forzar la conmutación por error del verificador.
- La firma vinculó preliminarmente el ataque con Lazarus Group y aseguró que no detectó contagio hacia otras aplicaciones del protocolo.
🚨 ¡Crisis en DeFi! LayerZero culpa a Kelp por un exploit de $290 millones.
La vulnerabilidad no es del protocolo, sino de una mala configuración de verificador único.
Se atribuye el ataque al grupo norcoreano Lazarus, que utilizó sofisticadas técnicas de compromiso RPC y… pic.twitter.com/mdfIM8DK6N
— Diario฿itcoin (@DiarioBitcoin) April 20, 2026
LayerZero atribuyó el exploit por USD $290.000.000 contra Kelp DAO a la propia arquitectura de seguridad elegida por ese protocolo de liquid restaking, y no a una falla del protocolo base. Según explicó la empresa, el ataque solo fue posible porque Kelp mantenía una configuración de verificador único, a pesar de que ya existían recomendaciones públicas y comunicaciones directas para adoptar un esquema con múltiples verificadores independientes.
La acusación añade una dimensión delicada al caso. LayerZero dijo que, con un alto grado preliminar de confianza, los responsables estarían vinculados con Lazarus Group de Corea del Norte y con su subunidad TraderTraitor. De confirmarse, se trataría de otro golpe de gran escala contra el ecosistema DeFi en un mes marcado por ataques cada vez más especializados y difíciles de detectar.
En términos simples, los verificadores son actores o sistemas encargados de confirmar que un mensaje entre cadenas es auténtico antes de liberar activos en un puente. Esa función es crítica para la seguridad de las finanzas descentralizadas, porque un error en la validación puede permitir que un atacante simule una transferencia legítima y retire fondos reales del otro lado.
En este caso, LayerZero sostuvo que el vector no explotó una vulnerabilidad en el código central del protocolo. La maniobra se dirigió a la capa de infraestructura, en particular a los nodos RPC que alimentaban al verificador con datos de blockchain. Los nodos RPC son servidores que permiten leer y escribir información en una red, por lo que se convierten en un punto muy sensible cuando sirven como fuente de verdad para procesos automatizados.
Cómo se ejecutó el ataque, según LayerZero
La empresa explicó que los atacantes comprometieron dos de los nodos RPC de los que dependía su verificador para confirmar transacciones entre cadenas. Luego sustituyeron los binarios que corrían en esos nodos por versiones maliciosas. Esos binarios falsificados estaban diseñados para informar al verificador que una transacción fraudulenta sí había ocurrido, mientras seguían entregando datos correctos al resto de sistemas que consultaban los mismos nodos.
Ese detalle fue clave para mantener la operación oculta. La infraestructura de monitoreo de LayerZero también realizaba consultas a esos RPC, pero desde distintas direcciones IP. Como los nodos adulterados respondían de forma selectiva, el engaño quedaba limitado al flujo que alimentaba la verificación crítica, sin disparar alertas inmediatas en los sistemas que observaban el resto del tráfico.
Aun así, comprometer dos nodos no bastaba para completar el robo. El verificador de LayerZero también consultaba nodos RPC externos no comprometidos como respaldo. Para salvar ese obstáculo, los atacantes desplegaron un ataque distribuido de denegación de servicio contra esos nodos externos, forzando así la conmutación por error hacia los nodos ya envenenados.
Los registros de tráfico compartidos por la compañía muestran que el DDoS estuvo activo entre las 10:20 a.m. y las 11:40 a.m., hora del Pacífico, el sábado. Una vez lograda esa conmutación, los nodos comprometidos indicaron al verificador que había llegado un mensaje válido entre cadenas. Con esa aprobación, el puente de Kelp liberó 116.500 rsETH a los atacantes.
LayerZero agregó que el software malicioso se autodestruyó después de completar la operación. Según su versión, los binarios y registros locales fueron borrados para dificultar el análisis forense posterior. Esa clase de comportamiento encaja con campañas más avanzadas, donde el objetivo no es solo ejecutar el robo, sino también reducir la evidencia técnica disponible para reconstruir el incidente.
La disputa sobre la responsabilidad
El punto central de la defensa de LayerZero es que el incidente respondió a una mala configuración de Kelp, no a un fallo sistémico del protocolo. Kelp operaba un esquema 1-de-1, lo que significa que LayerZero Labs era la única entidad encargada de verificar mensajes hacia y desde el puente rsETH. Bajo ese modelo, comprometer la fuente de datos de un solo verificador podía ser suficiente para falsificar un mensaje válido.
La empresa sostuvo que su lista pública de verificación para integraciones y sus comunicaciones directas con Kelp recomendaban una topología con múltiples redes descentralizadas de verificadores, o DVN por sus siglas en inglés. En esa arquitectura, varios verificadores independientes deben alcanzar consenso antes de aprobar un mensaje, lo que reduce de forma sustancial el riesgo de que la corrupción de una sola fuente desemboque en un drenaje de fondos.
LayerZero fue explícita al respecto. La compañía afirmó que una configuración adecuadamente reforzada habría exigido consenso entre múltiples DVN independientes, lo que habría hecho ineficaz este ataque incluso si uno de ellos resultaba comprometido. En otras palabras, la empresa intenta separar con claridad el diseño del protocolo de la forma en que Kelp decidió implementarlo.
Esa distinción es importante para el mercado. Si el problema hubiera sido una falla a nivel de protocolo, cada token OFT y cada aplicación conectada a LayerZero podría haber quedado bajo sospecha. Pero si la causa real fue una mala integración de un solo proyecto, el riesgo se percibe como más acotado, aunque igualmente serio para cualquier equipo que haya priorizado comodidad operativa sobre redundancia de seguridad.
Hasta el momento descrito en la información original, Kelp no había respondido públicamente al planteamiento de LayerZero ni había explicado por qué mantenía una configuración de verificador único, pese a las advertencias explícitas. Ese silencio deja abierto un frente reputacional relevante, porque el caso no solo involucra una pérdida multimillonaria, sino también la posibilidad de que el incidente se considerara evitable.
Sin contagio confirmado y cambios inmediatos en el protocolo
LayerZero aseguró que ha confirmado cero contagio hacia otras aplicaciones dentro del protocolo. También indicó que todos los tokens y aplicaciones bajo el estándar OFT que usan configuraciones de múltiples verificadores no resultaron afectados. Para el ecosistema, ese mensaje busca contener el temor a un riesgo generalizado en puentes y activos interconectados.
La empresa informó además que su verificador ya volvió a estar en línea. Sin embargo, la respuesta no se limitó a la restauración del servicio. LayerZero dijo que ya no firmará mensajes para ninguna aplicación que opere con configuración 1-de-1, lo que en la práctica obliga a una migración progresiva dentro del protocolo para abandonar los esquemas de verificador único.
La decisión funciona como una medida correctiva y también como una señal política hacia desarrolladores e integradores. En el mundo DeFi, muchos incidentes no nacen de errores criptográficos profundos, sino de atajos en despliegues, confianza excesiva en proveedores únicos o falta de capas defensivas. Por eso, el caso Kelp vuelve a poner el foco en la seguridad operativa y no solo en el código auditado.
Según reportó CoinDesk, LayerZero insistió en que no ha encontrado evidencia de impacto sobre otras aplicaciones. Esa aclaratoria es relevante porque los puentes entre cadenas suelen amplificar el nerviosismo del mercado. Un incidente aislado puede transformarse rápidamente en salidas de capital si los usuarios creen que el mismo método podría replicarse sobre múltiples activos o integraciones.
Lazarus acelera la presión sobre DeFi
La atribución preliminar a Lazarus Group intensifica todavía más la gravedad del episodio. LayerZero vinculó este exploit del 18 de abril con el ataque al Drift Protocol del 1 de abril. De acuerdo con esa lectura, la misma unidad norcoreana habría drenado más de USD $575.000.000 de DeFi en apenas 18 días usando dos métodos estructuralmente distintos.
En Drift, la ruta habría pasado por ingeniería social contra firmantes de gobernanza. En Kelp, en cambio, el vector estuvo ligado al envenenamiento de infraestructura RPC combinado con presión DDoS. La comparación sugiere una evolución táctica preocupante: los atacantes no dependen de una sola técnica, sino que adaptan su manual con rapidez según el objetivo, la arquitectura y el punto más débil de cada protocolo.
Para los proyectos DeFi, eso eleva el estándar de defensa exigido. Ya no basta con auditar contratos inteligentes o endurecer controles sobre claves y firmas. También se vuelve crítico blindar proveedores de infraestructura, diversificar fuentes de datos, revisar procedimientos de failover y asumir que los atacantes pueden manipular el entorno operativo sin tocar directamente el código del protocolo.
El incidente deja una advertencia amplia para el ecosistema. La seguridad entre cadenas depende tanto del diseño criptográfico como de las decisiones concretas de implementación. En un mercado donde un único verificador, una mala política de redundancia o una dependencia técnica mal asegurada pueden abrir la puerta a pérdidas por cientos de millones, la gobernanza de riesgos ya no puede tratarse como un detalle secundario.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Estados Unidos
Agencia de seguridad de EE. UU. estaría usando Mythos de Anthropic pese a veto del Pentágono
Estados Unidos
Tráfico de IA hacia minoristas de EE. UU. sube 393% y ya convierte mejor que los humanos
Criptomonedas
Coinbase prueba agentes de IA en Slack y correo para asistir a sus empleados
Empresas