Los detalles de la explotación de $292M de KelpDAO de LayerZero y el refuerzo de la seguridad del puente

LayerZero Labs ha publicado su informe de incidente sobre el ataque al puente de KelpDAO, señalando que se robaron unos 292 millones de dólares en rsETH después de que los atacantes envenenaran la infraestructura RPC utilizada por su red de verificación y forzaran cambios de políticas en torno a configuraciones de un solo firmante.
Resumen

• LayerZero dijo que KelpDAO fue explotado por cerca de 290 millones de dólares, o aproximadamente 116.500 rsETH, en un ataque aislado al setup de un solo-DVN de rsETH.
• La empresa dijo que los indicadores preliminares apuntan a TraderTraitor, vinculado a Corea del Norte, y describió el exploit como un compromiso de infraestructura en lugar de una falla del protocolo.
• LayerZero dijo que dejará de firmar mensajes para aplicaciones que usen configuraciones 1/1 de DVN y que está empujando a los integradores afectados hacia redundancia multi-DVN.

LayerZero Labs ha publicado un relato detallado del exploit de KelpDAO, confirmando que los atacantes robaron aproximadamente 116.500 rsETH, con un valor de cerca de 292 millones de dólares, comprometiendo la infraestructura descendente vinculada a la capa de verificación utilizada en la configuración entre cadenas de KelpDAO.

La empresa dijo que el incidente se limitó al setup de rsETH de KelpDAO porque la aplicación dependía de una configuración DVN de 1-de-1 con LayerZero Labs como único verificador; un diseño que LayerZero afirmó que contradecía directamente su recomendación vigente de que las aplicaciones usen setups multi-DVN diversificados con redundancia.

En su comunicado, LayerZero dijo que había "cero contagio a cualquier otro activo entre cadenas o aplicaciones", argumentando que la arquitectura de seguridad modular del protocolo contenía el radio del estallido incluso cuando falló una sola configuración a nivel de aplicación.

Cómo funcionó el ataque {#how-the-attack-worked}

Según el informe de LayerZero, el ataque del 18 de abril de 2026 se dirigió a la infraestructura RPC en la que se apoyaba el DVN de LayerZero Labs, en lugar de explotar el protocolo de LayerZero, la gestión de claves o el software del DVN en sí.

La empresa dijo que los atacantes obtuvieron acceso a la lista de RPC usada por el DVN, comprometieron dos nodos que se ejecutaban en clústeres separados, reemplazaron binarios en nodos op-geth y, luego, usaron cargas maliciosas para alimentar datos de transacciones falsificados al verificador, devolviendo datos verídicos a otros endpoints, incluidos servicios internos de monitoreo.

Para completar el exploit, los atacantes también lanzaron ataques DDoS contra endpoints RPC no comprometidos, lo que activó el failover hacia los nodos envenenados y permitió que el DVN de LayerZero Labs confirmara transacciones que en realidad nunca habían ocurrido.

El trabajo forense externo, en líneas generales, coincide con esa descripción. Chainalysis dijo que los atacantes vinculados al grupo Lazarus de Corea del Norte, específicamente TraderTraitor, no explotaron un fallo de contrato inteligente, sino que falsificaron un mensaje entre cadenas envenenando nodos RPC internos y sobrecargando los externos en un setup de verificación con un único punto de falla.

Cambios de seguridad {#security-changes}

LayerZero dijo que la respuesta inmediata incluyó la desactualización y sustitución de todos los nodos RPC afectados, restableciendo el DVN de LayerZero Labs a la operación y contactando a agencias de aplicación de la ley mientras trabajaba con socios de la industria y Seal911 para rastrear los fondos robados.

Más importante aún, la empresa está cambiando la forma en que maneja configuraciones riesgosas. En el comunicado, LayerZero dijo que su DVN "no firmará ni dará fe de mensajes de ninguna aplicación que utilice una configuración 1/1", un cambio directo de política destinado a evitar una repetición del modo de fallo de KelpDAO.

La empresa también está contactando a proyectos que aún usan configuraciones 1/1 para migrarlos a modelos multi-DVN con redundancia, admitiendo efectivamente que la flexibilidad de configuración sin barreras de seguridad obligatorias era demasiado permisiva en la práctica.

La atribución también se ha endurecido. Chainalysis vinculó el exploit al grupo Lazarus de Corea del Norte y, específicamente, a TraderTraitor, mientras que Nexus Mutual dijo que el mensaje falsificado drenó 292 millones de dólares del puente de KelpDAO en menos de 46 minutos, convirtiéndolo en una de las mayores pérdidas DeFi de 2026.

El resultado es una lección familiar pero brutal para la infraestructura entre cadenas: los contratos inteligentes pueden sobrevivir intactos y el protocolo aun así fallar en la práctica si la capa de confianza fuera de cadena es lo bastante débil. LayerZero ahora intenta demostrar que el aprendizaje correcto tras un robo de puente de 292 millones no es que haya fallado la seguridad modular, sino que dejar que cualquiera ejecute un setup de un solo firmante fue el error real.