LayerZero detalla el exploit KelpDAO de 292 millones de dólares y refuerza la seguridad del puente

LayerZero Labs ha publicado su informe de incidente sobre el ataque al puente KelpDAO, diciendo que alrededor de $292 millones en rsETH fueron robados después de que los atacantes envenenaran la infraestructura RPC utilizada por su red de verificación y forzaran cambios de políticas en torno a las configuraciones de firmante único.

LayerZero Labs ha publicado un relato detallado del exploit KelpDAO, confirmando que los atacantes robaron aproximadamente 116,500 rsETH, con un valor aproximado de $292 millones, al comprometer la infraestructura descendente vinculada a la capa de verificación utilizada en la configuración de cadena cruzada de KelpDAO.

La compañía dijo que el incidente se limitó a la configuración rsETH de KelpDAO porque la aplicación se basaba en una configuración DVN 1 de 1 con LayerZero Labs como único verificador, un diseño que, según LayerZero, contradecía directamente su recomendación permanente de que las aplicaciones utilicen configuraciones multi-DVN diversificadas con redundancia.

En su declaración, LayerZero dijo que hubo "cero contagio a cualquier otro activo o aplicación entre cadenas", argumentando que la arquitectura de seguridad modular del protocolo contenía el radio de explosión incluso cuando fallaba una única configuración a nivel de aplicación.

Cómo funcionó el ataque

Según el informe de LayerZero, el ataque del 18 de abril de 2026 tuvo como objetivo la infraestructura RPC en la que confía LayerZero Labs DVN en lugar de explotar el protocolo LayerZero, la administración de claves o el software DVN en sí.

La compañía dijo que los atacantes obtuvieron acceso a la lista de RPC utilizados por DVN, comprometieron dos nodos que se ejecutaban en clústeres separados, reemplazaron archivos binarios en nodos op-geth y luego utilizaron cargas útiles maliciosas para alimentar datos de transacciones falsificados al verificador mientras devolvían datos veraces a otros puntos finales, incluidos los servicios de monitoreo interno.

Para completar el exploit, los atacantes también lanzaron ataques DDoS en puntos finales RPC no comprometidos, lo que desencadenó una conmutación por error hacia los nodos envenenados y permitió que LayerZero Labs DVN confirmara transacciones que en realidad nunca habían ocurrido.

El trabajo forense externo coincide en términos generales con esa descripción. Chainalysis dijo que los atacantes vinculados al Grupo Lazarus de Corea del Norte, específicamente TraderTraitor, no explotaron un error de contrato inteligente, sino que falsificaron un mensaje entre cadenas envenenando los nodos RPC internos y abrumando los externos en una configuración de verificación de punto único de falla.

Cambios de seguridad

LayerZero dijo que la respuesta inmediata incluyó desaprobar y reemplazar todos los nodos RPC afectados, restaurar el funcionamiento del DVN de LayerZero Labs y contactar a las agencias de aplicación de la ley mientras trabajaba con socios de la industria y Seal911 para rastrear los fondos robados.

Más importante aún, la empresa está cambiando la forma en que maneja las configuraciones riesgosas. En el comunicado, LayerZero dijo que su DVN "no firmará ni certificará mensajes de ninguna aplicación que utilice una configuración 1/1", un cambio de política directo destinado a evitar que se repita el modo de falla de KelpDAO.

La compañía también se está acercando a proyectos que todavía usan configuraciones 1/1 para migrarlas a modelos multi-DVN con redundancia, admitiendo efectivamente que la flexibilidad de configuración sin rieles de seguridad obligatorios era demasiado permisiva en la práctica.

El panorama de la atribución también se ha endurecido. Chainalysis vinculó el exploit con el grupo Lazarus de Corea del Norte y específicamente con TraderTraitor, mientras que Nexus Mutual dijo que el mensaje falsificado drenó 292 millones de dólares del puente de KelpDAO en menos de 46 minutos, lo que la convirtió en una de las mayores pérdidas de DeFi de 2026.

El resultado es una lección familiar pero brutal para la infraestructura entre cadenas: los contratos inteligentes pueden sobrevivir intactos y el protocolo aún puede fallar en la práctica si la capa de confianza fuera de la cadena es lo suficientemente débil. LayerZero ahora está tratando de demostrar que la conclusión correcta del robo de un puente de 292 millones de dólares no es que la seguridad modular falló, sino que permitir que cualquiera ejecutara una configuración de un solo firmante fue el verdadero error.