Un exploit de $290 millones en el puente entre cadenas de KelpDAO el 18 de abril, atribuido por LayerZero al Grupo Lazarus de Corea del Norte, causó conmoción en el ecosistema DeFi y eliminó más de $13 mil millones en valor total bloqueado (TVL) en varios protocolos en 48 horas.
Los atacantes drenaron 116.500 rsETH, valorados en aproximadamente $290 millones, del puente entre cadenas de KelpDAO impulsado por LayerZero el 18 de abril, en lo que CoinDesk ha calificado como el mayor exploit de DeFi de 2026 hasta la fecha. LayerZero, cuya infraestructura sustentaba el puente, afirmó en un comunicado el lunes que “los indicadores preliminares sugieren la atribución a un actor estatal altamente sofisticado, probablemente el Grupo Lazarus de la RPDC.”
El ataque funcionó comprometiendo dos nodos de llamada a procedimiento remoto (RPC) en los que se basaba el verificador de LayerZero para confirmar las transacciones entre cadenas, y luego inundando los nodos de respaldo con tráfico basura para forzar la conmutación por error a los puntos finales infectados. Una vez que el verificador aprobó una transacción fabricada, el puente liberó $290 millones en rsETH a una dirección controlada por el atacante. Luego, el malware se autodestruyó, borrando binarios y registros para frustrar la investigación forense. Como informó crypto.news, el exploit provocó salidas de más de $10 mil millones solo de Aave, con el valor total bloqueado (TVL) del protocolo de préstamos cayendo de $45.8 mil millones a $35.7 mil millones mientras los usuarios se apresuraban a salir. UPI informó que más de $13 mil millones fueron eliminados del valor total bloqueado en las plataformas DeFi en los dos días posteriores a la brecha.
Ha surgido una disputa sobre quién es el responsable de la vulnerabilidad que hizo posible el ataque. LayerZero afirmó que KelpDAO había optado por operar una configuración de red de verificadores descentralizada 1 de 1, un punto único de fallo contra el que había advertido repetidamente, y anunció que ya no firmaría mensajes para ninguna aplicación que utilizara esa configuración. KelpDAO replicó, diciendo a CoinDesk que su configuración seguía los valores predeterminados documentados por LayerZero y que el validador comprometido formaba parte de la propia infraestructura de LayerZero. Como documentó crypto.news, investigadores de seguridad independientes, incluido un desarrollador de Yearn Finance, encontraron que el código de implementación pública de LayerZero se distribuye con valores predeterminados de verificación de una sola fuente en cada cadena principal, socavando la afirmación de la empresa de que KelpDAO se había desviado de las directrices.
El exploit de KelpDAO es la segunda brecha importante de DeFi vinculada a Lazarus solo en abril, después del ataque de $285 millones al Protocolo Drift el 1 de abril, elevando el botín total de DeFi del grupo para el mes a más de $575 millones. Desde entonces, el atacante ha comenzado a lavar los fondos robados, dirigiendo los activos a través de Arbitrum y hacia stablecoins basadas en Tron, según ha rastreado crypto.news. Jefferies ha advertido que hackeos destacados de esta magnitud podrían ralentizar temporalmente el apetito de Wall Street por los proyectos de tokenización, mientras las instituciones reevalúan los riesgos de seguridad incrustados en la infraestructura de puentes de DeFi. LayerZero afirmó haber confirmado cero contagio a otras aplicaciones que ejecutan configuraciones de multiverificadores, pero ha forzado una migración de todo el protocolo para abandonar las configuraciones de un solo validador.
LayerZero dijo que está trabajando con KelpDAO, la Security Alliance y las agencias de aplicación de la ley para rastrear los fondos robados, aunque el uso de herramientas de privacidad por parte del atacante ha complicado significativamente los esfuerzos de recuperación.
