LayerZero emitió una disculpa pública el viernes por su manejo de las consecuencias del exploit del 18 de abril que sustrajo aproximadamente $292 millones en rsETH del puente entre cadenas de Kelp DAO, marcando un notable cambio de tono respecto a su análisis post-mortem anterior que caracterizaba al protocolo como habiendo "funcionado exactamente como se esperaba".
"Hemos hecho un trabajo terrible en comunicaciones durante las últimas tres semanas", escribió LayerZero en la publicación del blog, también publicada en X. "Queríamos priorizar la exhaustividad en la forma de un análisis post-mortem completo, pero deberíamos haber sido más directos desde el principio."
El protocolo dijo que sus nodos RPC internos, en los que se basaba su Red de Verificadores Descentralizados (DVN) para leer el estado de la cadena de origen, fueron comprometidos por el Grupo Lazarus de Corea del Norte. Los atacantes envenenaron los flujos de datos de esos nodos mientras lanzaban simultáneamente un ataque DDoS contra los proveedores RPC externos de LayerZero, obligando a la DVN a recurrir a una infraestructura comprometida y a aprobar transacciones que en realidad nunca ocurrieron. LayerZero había atribuido anteriormente el ataque al subgrupo de Lazarus conocido como TraderTraitor.
La publicación reconoció un punto al que LayerZero se había resistido anteriormente: no debería haber permitido que su DVN sirviera como único verificador para transacciones de alto valor. "Creemos que los desarrolladores deben elegir sus propias configuraciones de seguridad, pero cometimos un error al permitir que nuestra DVN actuara como una DVN 1/1 para transacciones de alto valor", escribió la compañía. "No supervisamos lo que nuestra DVN estaba asegurando, lo que creó un riesgo que simplemente no vimos."
Esa declaración representa una concesión significativa. La declaración inicial del incidente de LayerZero culpó directamente a las elecciones de configuración de Kelp DAO, describiendo la configuración DVN 1 de 1 como una decisión que Kelp tomó en contra de las directrices.
Kelp DAO refutó públicamente esa versión, señalando la propia documentación de LayerZero, las guías de inicio rápido y los ejemplos para desarrolladores como evidencia de que la configuración de verificador único era la recomendación de incorporación predeterminada de la plataforma. Un análisis de Dune citado por Kelp encontró que el 47% de aproximadamente 2.665 contratos OApp activos de LayerZero estaban ejecutando la misma configuración en el momento del ataque.
LayerZero dijo que el exploit afectó a una sola aplicación, representando aproximadamente el 0,14% del total de aplicaciones en la red y aproximadamente el 0,36% del valor de los activos que utilizan LayerZero. Añadió que se han movido más de $9 mil millones a través del protocolo desde el 19 de abril.
La publicación del blog también reveló un incidente de seguridad operativa no reportado anteriormente. Hace aproximadamente tres años y medio, uno de los firmantes multifirma de LayerZero utilizó su monedero de hardware de producción para ejecutar una operación personal, con la intención de usar un dispositivo personal separado. LayerZero dijo que el firmante fue retirado de la multifirma, los monederos fueron rotados y la compañía ha añadido desde entonces software de detección de anomalías a cada dispositivo de firma.
La divulgación llega en medio de un escrutinio separado y continuo sobre la seguridad operativa de los firmantes multifirma de LayerZero. Investigadores on-chain y figuras de seguridad, incluido el enlace de la comunidad de Chainlink Zach Rynes, habían señalado pruebas de que las claves multisig de producción se utilizaron para actividades de DEX no relacionadas, incluyendo lo que parecía ser un intercambio por la memecoin McPepes en Uniswap. El CEO de LayerZero, Bryan Pellegrino, dijo que las transacciones eran pruebas OFT realizadas por antiguos firmantes que desde entonces han sido eliminados.
LayerZero esbozó una serie de cambios que ha realizado desde el exploit. La DVN de LayerZero Labs ya no da servicio a las configuraciones DVN 1/1. La configuración predeterminada en todas las vías se está migrando para requerir al menos cinco verificadores donde sea posible, con un mínimo de tres en cadenas donde solo hay tres DVN disponibles. La compañía también está construyendo un segundo cliente DVN escrito en Rust para la diversidad de clientes y ha reconfigurado su configuración RPC para permitir controles de quórum más granulares entre proveedores de nodos internos y externos.
En el lado de la infraestructura, LayerZero dijo que planea aumentar su propio umbral multifirma de 3 de 5 a 7 de 10 utilizando OneSig, una herramienta multifirma de código abierto que la compañía presentó el año pasado. OneSig permite a los firmantes descargar transacciones y aplicarles hash localmente antes de firmar, evitando que el backend inserte transacciones no autorizadas. LayerZero también dijo que está construyendo una plataforma llamada Console para que los emisores de activos configuren y monitoreen la configuración de seguridad, con detección de anomalías incorporada para señalar configuraciones de riesgo.
La disculpa llega en un momento difícil para LayerZero. Dos protocolos importantes han migrado su infraestructura cross-chain al CCIP de Chainlink en las semanas posteriores al exploit. Kelp DAO anunció su partida a principios de esta semana, convirtiéndose en el primer protocolo importante en dejar LayerZero desde el hackeo. Solv Protocol le siguió, anunciando que movería más de $700 millones en bitcoin tokenizado fuera de LayerZero, citando preocupaciones de seguridad.
Mientras tanto, la iniciativa de recuperación DeFi United, formada a raíz del exploit, ha recaudado más de $300 millones en ETH y stablecoins. LayerZero contribuyó con 10.000 ETH, divididos entre una donación de 5.000 ETH y un préstamo de 5.000 ETH a Aave, que enfrenta una deuda incobrable estimada entre $124 millones y $230 millones por el incidente. La DAO de Arbitrum votó para liberar 30.766 ETH congelados para el esfuerzo de recuperación, y un juez el viernes permitió que la transferencia continuara a pesar de una orden de restricción de las víctimas y acreedores de terrorismo de Corea del Norte.
LayerZero dijo que un análisis post-mortem oficial seguirá una vez que sus socios de seguridad externos concluyan su trabajo.
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigaciones y datos. A partir de noviembre de 2023, Foresight Ventures es un inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del espacio cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block continúa operando de forma independiente para ofrecer información objetiva, impactante y oportuna sobre la industria de las criptomonedas. Aquí están nuestras divulgaciones financieras actuales.
© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni se pretende que se utilice como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
