Incumplimiento de USD 290 millones en Kelp DAO vinculado al grupo Lazarus y la débil seguridad del puente

En lo que representa una de las violaciones de seguridad de las finanzas descentralizadas más importantes de 2026, Kelp DAO sufrió pérdidas por un total de aproximadamente entre 290 y 293 millones de dólares durante un ataque de fin de semana. LayerZero, el protocolo de mensajería entre cadenas utilizado en el incidente, ha atribuido la vulnerabilidad a las decisiones de infraestructura de Kelp. Hoy identificamos actividad sospechosa entre cadenas que involucra a rsETH. Hemos pausado los contratos rsETH en la red principal y en varias L2 mientras investigamos. Estamos trabajando con @LayerZero_Core, @unichain, nuestros auditores y los mejores expertos en seguridad en RCA. Lo mantendremos… – Kelp (@KelpDAO) 18 de abril de 2026 La infracción se centró en el mecanismo de transferencia de tokens rsETH de Kelp a través de diferentes redes blockchain. Operar con una arquitectura de un solo verificador significaba que solo se necesitaba una autoridad para validar las transferencias entre cadenas. Según LayerZero, la compañía había advertido explícitamente a Kelp sobre esta configuración e instó a la adopción de múltiples fuentes de verificación independientes. LayerZero: KelpDAO pierde ~$290 millones en un exploit, atribuido al grupo Lazarus de la RPDC LayerZero informó que el 18 de abril de 2026, KelpDAO sufrió un exploit que resultó en pérdidas de aproximadamente $290 millones, atribuidas preliminarmente al grupo Lazarus de la RPDC (TraderTraitor). El ataque envenenó… pic.twitter.com/mfhQRaC2p9 - Wu Blockchain (@WuBlockchain) 20 de abril de 2026 Los piratas informáticos se infiltraron en dos nodos de llamada a procedimientos remotos: servidores especializados que permiten que el software interactúe con los datos de blockchain. Estos nodos legítimos fueron reemplazados por versiones comprometidas que entregaban información fraudulenta al sistema de verificación de LayerZero mientras mantenían apariencias normales en otros componentes de la infraestructura. Dado que el proceso de verificación de LayerZero también consultó nodos externos legítimos, los atacantes lanzaron una campaña distribuida de denegación de servicio para desactivar esos sistemas. Esta táctica redirigió el tráfico de la red a través de la infraestructura comprometida durante un período de 80 minutos de 10:20 a. m. a 11:40 a. m., hora del Pacífico, el sábado. Cuando se activó el mecanismo de conmutación por error, los nodos maliciosos transmitieron la confirmación de una transacción legítima al verificador. Posteriormente, el protocolo puente de Kelp liberó 116.500 rsETH a las billeteras de los atacantes. Luego, el software hostil se eliminó solo, borrando toda evidencia forense de los servidores afectados. Los tokens rsETH robados se utilizaron como garantía en varias plataformas de préstamos, lo que permitió a los atacantes retirar activos genuinos. Aave, la plataforma de préstamos descentralizada dominante, absorbió el daño más sustancial. Aave se encontró con garantías ilíquidas de rsETH, mientras que activos valiosos como ETH ya se habían extraído a través de mecanismos de endeudamiento. El token nativo de Aave se desplomó aproximadamente un 15% en un período de 24 horas, mientras que el protocolo experimentó aproximadamente $6 mil millones en retiros mientras los participantes se apresuraban a retirar sus fondos. No menos de nueve aplicaciones DeFi sufrieron daños, incluidas Fluid, Compound Finance, SparkLend y Euler. La empresa de ciberseguridad Cyvers caracterizó el incidente como un “evento de contagio entre protocolos” que se extiende mucho más allá de la vulnerabilidad de una sola plataforma. With preliminary confidence, LayerZero has connected this attack to North Korea’s Lazarus Group, specifically its TraderTraitor division. Esta misma organización estuvo implicada en la violación del Protocolo Drift de 285 millones de dólares el 1 de abril, lo que indica que Lazarus ha extraído más de 575 millones de dólares de las finanzas descentralizadas en un período de 18 días utilizando dos metodologías de ataque distintas. LayerZero no informa evidencia de que la vulnerabilidad se propague a aplicaciones que operan con arquitecturas de múltiples verificadores. La compañía restableció su servicio de verificación y anunció una política permanente que se niega a procesar mensajes para cualquier aplicación que utilice configuraciones de verificador único. El fundador de Curve Finance, Michael Egorov, enfatizó que esta infracción demuestra los riesgos inherentes de depender de fuentes solitarias de verificación de transacciones. Además, advirtió contra el uso de infraestructura entre cadenas a menos que sea operativamente esencial. Según el CTO de Ledger, Charles Guillemet, 2026 será "muy probablemente el peor año en términos de hacks". Las pérdidas por violaciones de seguridad relacionadas con las criptomonedas ya superaron los 482 millones de dólares durante el primer trimestre de 2026. Kelp ha guardado silencio con respecto a la versión de los eventos de LayerZero y no ha abordado por qué el protocolo continuó funcionando con una arquitectura de verificador único a pesar de recibir advertencias de seguridad explícitas.