Por Canuto Kelp DAO prepara una dura respuesta contra LayerZero tras el exploit de rsETH que drenó cerca de USD $290 millones. El protocolo sostiene que la falla no provino de una decisión aislada de su equipo, sino de la infraestructura, documentación y configuraciones predeterminadas promovidas por LayerZero.
***
- Kelp DAO afirma que el verificador comprometido formaba parte de la propia infraestructura operada por LayerZero.
- La disputa gira en torno al uso de una configuración DVN 1/1, que LayerZero ahora critica pero que, según Kelp, figuraba como opción predeterminada.
- Investigadores y figuras del sector cuestionan la versión de LayerZero y advierten sobre riesgos más amplios en la seguridad cross-chain.
La disputa por el exploit de rsETH que dejó pérdidas cercanas a USD $290 millones ha escalado con rapidez.
Según información reportada por CoinDesk, el equipo de Kelp DAO está preparándose para publicar un memorando en el que rechaza la versión ofrecida por LayerZero y sostiene que el fallo estuvo vinculado a la propia infraestructura del proveedor de mensajería cross-chain, así como a sus configuraciones predeterminadas y su documentación de incorporación.
“EXCLUSIVA: Kelp DAO está preparando un memorando que culpa a LayerZero por la explotación de rsETH de 292 millones de dólares del sábado, afirmando que se basó en la documentación de LayerZero, configuraciones predeterminadas y orientación del equipo al configurar el puente“, escribió CoinDesk en una publicación en X asegurando la revisión de dicho memorando.
SCOOP: Kelp DAO is preparing a memo blaming LayerZero for Saturday’s $292 million rsETH exploit, saying it relied on LayerZero’s documentation, default configurations and team guidance when setting up the bridge.
CoinDesk has reviewed the memo ahead of publication. pic.twitter.com/nBX2CzuViR
— CoinDesk (@CoinDesk) April 20, 2026
Kelp DAO niega haber adoptado una arquitectura excepcional o contraria a recomendaciones claras. La organización sostiene que la configuración que hoy es cuestionada por LayerZero era, en la práctica, la opción promovida durante el despliegue de integraciones.
El caso ha captado atención en todo el ecosistema DeFi porque expone un problema más amplio. Cuando un protocolo se apoya en infraestructura externa para mover activos entre redes, la línea entre responsabilidad técnica, diseño por defecto y operación real puede volverse difusa, especialmente después de un incidente de esta magnitud.
Kelp es un protocolo de re-staking líquido. Su modelo toma Ether (ETH) depositado por usuarios, lo canaliza hacia EigenLayer para generar rendimiento y, a cambio, emite rsETH como token recibo. LayerZero, por su parte, es la capa de mensajería cross-chain que permite mover ese activo entre distintas redes Blockchain mediante redes de verificación descentralizada, conocidas como DVN.
Qué ocurrió en el exploit de rsETH
El sábado, atacantes drenaron 116.500 rsETH, valorados en alrededor de USD $290 millones, desde el puente de Kelp impulsado por LayerZero. De acuerdo con la versión que Kelp prepara para difundir, el ataque se ejecutó tras comprometer servidores utilizados por el verificador de LayerZero para comprobar la legitimidad de transacciones entre cadenas.
La fuente citada en la cobertura indicó que dos servidores de LayerZero fueron comprometidos. Luego, los atacantes habrían inundado con tráfico basura a los servidores de respaldo, forzando al verificador a operar sobre nodos ya comprometidos. Bajo esa lectura, el punto crítico de la intrusión no habría sido un componente operado por Kelp, sino infraestructura construida y administrada por LayerZero.
Kelp también afirma que el incidente quedó limitado a la capa del puente. Según esa versión, los contratos centrales de restaking no fueron afectados. La organización añadió que activó una pausa de emergencia 46 minutos después del drenaje, una medida que habría bloqueado dos intentos posteriores capaces de liberar aproximadamente otros USD $200.000.000 en rsETH.
La gravedad del episodio ha sido reforzada por otro elemento delicado. Kelp describe el ataque como un “sofisticado ataque patrocinado por un Estado”, aunque en la información disponible no se ofrecen pruebas públicas adicionales que permitan verificar esa atribución por ahora.
El centro de la disputa: la configuración DVN 1/1
El corazón del conflicto está en la llamada configuración 1/1 de DVN. En términos simples, eso significa que un solo verificador debe aprobar un mensaje cross-chain para que el puente lo ejecute. Esa estructura elimina una segunda comprobación independiente y deja al sistema expuesto a un único punto de fallo.
LayerZero había presentado esa configuración como una decisión de Kelp adoptada pese a recomendaciones previas para migrar a esquemas con redundancia, como 2/3 o 3/5. En esos modelos, varios verificadores deben coincidir antes de validar una transferencia, lo que reduce la posibilidad de que una sola entidad comprometida apruebe un mensaje falso.
Sin embargo, Kelp rechaza esa caracterización. La fuente citada aseguró que, a través de un canal directo con LayerZero abierto desde julio de 2024, nunca se emitió una recomendación específica para que rsETH cambiara su configuración DVN. Además, sostiene que tanto la guía rápida de LayerZero como sus configuraciones de ejemplo en GitHub apuntaban precisamente a esa estructura 1/1.
La discusión es relevante porque cambia el eje del debate. Si una arquitectura insegura era la opción de referencia durante el onboarding, la responsabilidad ya no recaería solo en el integrador final. Pasaría también por el diseño del proveedor, por su documentación pública y por la manera en que orientó a proyectos que dependían de su sistema.
Kelp acusa a LayerZero de desviar la responsabilidad
En su respuesta, Kelp sostiene que LayerZero intentó convertir una práctica ampliamente usada en una excepción atribuible al protocolo afectado. La fuente afirmó que cerca del 40% de los protocolos desplegados sobre LayerZero utilizan actualmente esa misma configuración. Si ese dato es correcto, el problema podría tener implicaciones mucho más amplias para el ecosistema que usa esta infraestructura.
La propia documentación técnica citada en la cobertura refuerza esa tesis. El ejemplo de configuración en el “V2 OApp Quickstart” de LayerZero conecta cada ruta con un DVN requerido y ningún DVN opcional, una estructura que equivale al esquema 1/1 ahora criticado tras el exploit.
Para Kelp, esto prueba que no hubo una desviación deliberada de buenas prácticas, sino una adopción de los parámetros sugeridos por el proveedor. La organización subraya además que su especialidad principal no es la infraestructura de mensajería cross-chain, sino el restaking, la integración con EigenLayer y la administración de tokens de liquid staking.
Ese argumento toca un punto sensible dentro de DeFi. Muchos protocolos se apoyan en proveedores especializados para componentes complejos, como puentes o servicios de mensajería entre cadenas. Cuando ocurre una falla, determinar si el error fue de implementación, de diseño o de operación puede resultar decisivo para la confianza del mercado.
Investigadores y actores del sector cuestionan la narrativa oficial
La respuesta de Kelp ha encontrado eco entre algunos observadores del sector. Artem K, desarrollador del equipo central de Yearn Finance y conocido como @banteg, publicó una revisión técnica del código público de despliegue de LayerZero.
En su análisis, señaló que la configuración de referencia incluía valores predeterminados de verificación de fuente única en cadenas principales como Ethereum, BSC, Polygon, Arbitrum y Optimism.
Ese mismo análisis indicó que el despliegue deja expuesto un endpoint público que filtra la lista de servidores configurados a cualquiera que lo consulte. Aunque Banteg dijo no poder demostrar qué configuración concreta utilizó Kelp, observó que LayerZero suele pedir a los nuevos operadores que usen sus parámetros por defecto, precisamente los que su informe post-mortem terminó cuestionando.
También hubo críticas desde el entorno de Chainlink. Su community manager, Zach Rynes, acusó a LayerZero de estar “desviando la responsabilidad” por infraestructura comprometida bajo su operación y de culpar a Kelp por confiar en una configuración que la misma empresa había respaldado.
Estas reacciones no prueban por sí solas la tesis de Kelp, pero sí muestran que el relato de LayerZero no ha sido aceptado de forma unánime. La controversia se ha trasladado desde el terreno técnico hacia uno reputacional, donde la credibilidad y la consistencia de las prácticas de seguridad pasan a ser tan importantes como los detalles del exploit.
La respuesta de LayerZero y lo que viene para el ecosistema
Como parte de su reacción al incidente, LayerZero dijo que dejará de firmar mensajes para cualquier aplicación que siga operando con una configuración de un solo verificador. Esa decisión forzará una migración en todo el protocolo y sugiere que la firma reconoce ahora el riesgo estructural asociado a ese modelo.
Al momento de la publicación del reporte, LayerZero no había respondido a una solicitud adicional de comentarios. Esa ausencia deja abierta una pregunta crucial: si la configuración 1/1 era tan peligrosa como ahora se presenta, por qué seguía disponible como referencia operativa para integraciones activas en producción.
Más allá de la disputa puntual, el episodio vuelve a poner presión sobre los puentes cross-chain, una de las piezas históricamente más vulnerables del ecosistema cripto. Cada vez que grandes volúmenes de capital dependen de validaciones distribuidas, servidores externos y configuraciones complejas, los errores de diseño pueden convertirse en pérdidas multimillonarias.
Para Kelp DAO, la prioridad inmediata es defender su posición y delimitar el alcance del daño. Para LayerZero, el desafío será responder a las acusaciones sin que la confianza en su red de mensajería se deteriore aún más. En ambos casos, el exploit de rsETH ya dejó una señal difícil de ignorar: en DeFi, los valores predeterminados también pueden ser un riesgo sistémico cuando se usan a gran escala.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Negocios
WhatsApp prueba una suscripción paga con personalización y pocos cambios funcionales
Empresas
Adobe lanza CX Enterprise para empresas en plena presión por la competencia en IA
Noticias
Microsoft prueba mejoras de velocidad para el Explorador de Windows 11
Blockchain