La vulnerabilidad que drenó aproximadamente $292 millones del puente entre cadenas de KelpDAO durante el fin de semana fue "probablemente" obra del Grupo Lazarus de Corea del Norte, específicamente de su subunidad TraderTraitor, según LayerZero en un análisis preliminar el lunes.
Los atacantes drenaron 116.500 rsETH, un token de restaking líquido respaldado por ether apostado, del puente de KelpDAO el sábado, lo que provocó retiros en el sector de las finanzas descentralizadas que sacaron más de $10 mil millones del protocolo de préstamos Aave.
El ataque mostraba las características de "un actor estatal altamente sofisticado, probablemente el Grupo Lazarus de la RPDC", dijo LayerZero, especificando la subunidad TraderTraitor del grupo.
Las operaciones cibernéticas de Corea del Norte operan bajo la Oficina General de Reconocimiento, que alberga varias unidades distintas, incluyendo TraderTraitor, AppleJeus, APT38 y DangerousPassword, según un análisis del investigador de Paradigm Samczsun.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
Entre estas subunidades, TraderTraitor ha sido señalada como el actor más sofisticado de la RPDC que ataca las criptomonedas, previamente vinculado a las vulneraciones de Axie Infinity Ronin Bridge y WazirX.
LayerZero dijo que KelpDAO había utilizado un único verificador para aprobar las transferencias de entrada y salida del puente, añadiendo que había instado repetidamente a KelpDAO a utilizar múltiples verificadores en su lugar.
En adelante, LayerZero dijo que dejará de aprobar mensajes para cualquier aplicación que todavía ejecute esa configuración.
Los observadores dicen que el exploit expuso cómo el puente fue construido para confiar en un único verificador.
Fue "un único punto de fallo, independientemente de cómo lo llame el marketing", dijo Shalev Keren, cofundador de la firma de seguridad criptográfica Sodot, a Decrypt.
Un único punto de control comprometido fue suficiente para permitir que los fondos salieran del puente, y ninguna auditoría o revisión de seguridad podría haber solucionado ese fallo sin "eliminar la confianza unilateral de la propia arquitectura", dijo Keren.
Esa opinión fue compartida por Haoze Qiu, Blockchain Lead en Grvt, quien argumentó que, "Kelp DAO parece haber aceptado una configuración de seguridad de puente con muy poca redundancia para un activo de esta escala", añadiendo que LayerZero "también tiene responsabilidad" dado que "la vulneración involucró infraestructura ligada a su pila de validadores, incluso si esto no fue descrito como un error del protocolo principal".
Los atacantes estuvieron a tres minutos de drenar otros $100 millones antes de que una rápida lista negra los detuviera, según un análisis de la firma de seguridad blockchain Cyvers. La operación se basó en engañar a un único canal de comunicación, dijo Meir Dolev, CTO de Cyvers, a Decrypt.
Los atacantes manipularon dos de las líneas que el verificador usaba para comprobar si un retiro realmente había ocurrido en Unichain, le introdujeron un "sí" falso en esas líneas, y luego desconectaron las líneas restantes para forzar al verificador a depender de las comprometidas.
"La bóveda estaba bien. El guardia era honesto. El mecanismo de la puerta funcionó correctamente", dijo Dolev. "La mentira fue susurrada directamente a la única parte cuya palabra abría la puerta".
Pero mientras LayerZero, cuya infraestructura impulsaba el puente drenado, señaló a Lazarus como el probable culpable, Cyvers no llegó a la misma atribución en su propio análisis.
Algunos patrones coinciden con operaciones vinculadas a la RPDC en sofisticación, escala y ejecución coordinada, dijo Dolev, pero no se ha confirmado ninguna agrupación de monederos vinculada al grupo.
El software del nodo malicioso fue diseñado para borrarse una vez que el ataque terminara, eliminando binarios y registros para oscurecer el rastro de los atacantes en tiempo real y en el post-mortem, añadió.
A principios de este mes, los atacantes drenaron aproximadamente $285 millones del protocolo de futuros perpetuos Drift basado en Solana, en un exploit atribuido posteriormente a operativos norcoreanos.
Dolev señaló que el hackeo de Drift fue "muy diferente en términos de preparación y ejecución", pero ambos ataques requirieron largos tiempos de preparación, profunda experiencia y recursos significativos para llevarse a cabo.
Cyvers sospecha que los fondos robados han sido transferidos a esta dirección de Ethereum, lo que concuerda con un informe separado del investigador on-chain ZachXBT que la señaló junto con otras cuatro. Las direcciones de ataque fueron financiadas a través del mezclador de monedas Tornado Cash, según ZachXBT.
