Puntos clave de la noticia:
- KelpDAO sufrió un exploit por aproximadamente $290 millones el 18 de abril de 2026, se drenaron fondos principalmente en Ethereum y Arbitrum.
- LayerZero atribuyó el ataque al Grupo Lazarus de Corea del Norte y confirmó que el incidente quedó aislado a la configuración de rsETH de KelpDAO.
- La vulnerabilidad se originó en la configuración 1-de-1 DVN que usaba el protocolo, contraria a las recomendaciones de redundancia de LayerZero.
El protocolo de restaking líquido KelpDAO sufrió un exploit el 18 de abril de 2026 por aproximadamente $290 millones, los fondos fueron sustraídos a través de Ethereum y Arbitrum. Los primeros rastros forenses identificaron múltiples direcciones de ataque financiadas mediante Tornado Cash, lo que redujo desde el inicio las posibilidades de trackeo y evidencia que se trató de una operación muy bien planificada.
LayerZero emitió un comunicado oficial en el que atribuyó el ataque al Grupo Lazarus de Corea del Norte, específicamente a la unidad conocida como TraderTraitor. Según la infraestructura de mensajería cross-chain, el exploit no ocurrió a nivel de protocolo sino mediante un ataque de envenenamiento de RPC, donde los atacantes comprometieron dos nodos independientes que el DVN operado por LayerZero Labs usaba para verificar transacciones. Para completar el ataque, ejecutaron ataques DDoS sobre los nodos no comprometidos, forzando el desvío del tráfico hacia la infraestructura maliciosa.
— LayerZero (@LayerZero_Core) April 20, 2026
La Trampa de la Configuración 1-de-1
El punto central del comunicado de LayerZero apunta directamente a una decisión de configuración tomada por KelpDAO. El protocolo rsETH operaba con un setup 1-de-1 DVN, usando a LayerZero Labs como único verificador, en clara contradicción con las recomendaciones públicas y privadas de redundancia multi-DVN. LayerZero confirmó haber comunicado estas mejores prácticas al equipo de KelpDAO antes del incidente. Una configuración con múltiples verificadores independientes habría requerido consenso cruzado para validar cualquier mensaje, haciendo inviable este tipo de ataque incluso ante un nodo comprometido.
LayerZero confirmó que no hubo contagio alguno a ningún otro activo ni aplicación integrada al protocolo. Todos los OApps y OFTs con configuración multi-DVN operan sin interrupciones. El DVN de LayerZero Labs fue restaurado y el equipo anunció que no firmará mensajes de aplicaciones que mantengan configuraciones 1-de-1.
El Exploit de KelpDAO Mide a Toda la Infraestructura DeFi
Más allá del monto sustraído, el incidente expone una clara tensión estructural en el ecosistema DeFi cross-chain. La seguridad de un protocolo interoperable ya no depende únicamente de la calidad de su propio código, sino de cada decisión de configuración tomada por quienes lo integran. Cuando una de esas decisiones falla bajo un ataque sofisticado de nivel estatal, el daño se mide también en confianza: en la capa de restaking, en la infraestructura de mensajería y en el ecosistema de Ethereum en su conjunto.
LayerZero indicó estar en contacto con múltiples agencias de aplicación de la ley a nivel global y colabora activamente con investigadores del sector y con Seal911 para el rastreo de fondos.
