Operadores cibernéticos norcoreanos desvían casi $ 300 millones en atracos entre cadenas dirigidos al protocolo LayerZero de KelpDAO

Hechos clave La brecha que vació el puente entre cadenas de KelpDAO el 18 de abril de 2026 comenzó seis semanas antes. El 6 de marzo, un desarrollador de LayerZero Labs clonó un repositorio malicioso de GitHub e instaló el malware FLATROOF y ROOFDECK en un dispositivo de la empresa. El malware les dio a los atacantes acceso remoto y les permitió recolectar claves de sesión para la infraestructura de llamada a procedimiento remoto (RPC) de LayerZero.

Las empresas de ciberseguridad Mandiant y CrowdStrike atribuyeron el ataque con gran confianza a UNC4899, también conocido como TraderTraitor, un grupo de amenazas vinculado al estado de Corea del Norte. El total robado fue de 292 millones de dólares a precios de mercado el día de la infracción, según el informe final del incidente de LayerZero publicado el 18 de mayo de 2026.

Un mensaje falsificado entre cadenas liberó 116,500 rsETH después de que un solo nodo verificador fuera comprometido. La arquitectura de LayerZero se basa en redes de verificadores descentralizados (DVN) para confirmar que los mensajes entre cadenas son legítimos antes de que los contratos puente liberen fondos. El 18 de abril, los atacantes inyectaron código malicioso en dos de los clústeres de servidores RPC internos de LayerZero. El código inyectado hizo que esos servidores devolvieran el estado de blockchain falsificado al servicio de firma DVN mientras parecían normales para las herramientas de monitoreo.

Simultáneamente, los atacantes lanzaron un ataque distribuido de denegación de servicio contra el proveedor RPC externo de LayerZero. Eso obligó a la DVN a recurrir exclusivamente a los dos nodos internos comprometidos. El DVN produjo una certificación válida para un mensaje falsificado entre cadenas, y el contrato puente de Ethereum liberó 116,500 rsETH (el token de recuperación líquida de KelpDAO) a la dirección del atacante. Ninguna otra aplicación de la red LayerZero se vio afectada.

LayerZero admite que no pudo monitorear cómo su propio verificador aseguraba transferencias de alto valor. El puente de KelpDAO había operado previamente con dos DVN necesarios para certificar cada mensaje: una configuración 2 de 2. Se cambió para requerir solo un verificador, el propio DVN de LayerZero Labs, creando un único punto de falla. LayerZero inicialmente atribuyó la responsabilidad a la elección de configuración de KelpDAO. Revirtió esa posición el 8 de mayo de 2026.

"Cometimos un error al permitir que nuestro DVN actuara como un DVN 1/1 para transacciones de alto valor. No controlamos lo que nuestro DVN estaba asegurando, lo que creó un riesgo que simplemente no vimos. Somos dueños de eso", 8 de mayo de 2026.

- Laboratorios LayerZero 

Tras la admisión, LayerZero declaró que su DVN ya no firmaría certificaciones para ninguna aplicación utilizando una configuración 1 de 1. Los valores predeterminados de los protocolos en todas las vías se elevaron a un mínimo de 3 de 3 verificadores.

Solv Protocol traslada 700 millones de dólares en infraestructura de puente de Bitcoin tokenizada lejos de LayerZeroSolv Protocol, que gestiona productos de Bitcoin tokenizados, anunció que migraría más de 700 millones de dólares en infraestructura de puente de Bitcoin lejos de LayerZero después de realizar una revisión de seguridad. Kelp también migró su puente rsETH del estándar Omnichain Fungible Token de LayerZero a un protocolo alternativo de cadena cruzada. Ambos anuncios siguieron a la divulgación pública del exploit y la admisión de culpa por parte de LayerZero.

Los estándares de seguridad del puente DeFi se enfrentan a un escrutinio a medida que Ethereum absorbe las consecuencias. Ethereum cotizaba a 1.980 dólares en el momento de esta publicación, un 5,5% menos en los últimos siete días (CoinPaprika, 2 de junio de 2026). El ecosistema más amplio de Ethereum DeFi alberga la mayor parte de la infraestructura de puentes entre cadenas por valor total bloqueado y está reevaluando los supuestos de seguridad a raíz del incidente.

La violación de KelpDAO expuso un riesgo que se extiende más allá de LayerZero. Cualquier puente que dependa de un único verificador para dar fe de mensajes de alto valor entre cadenas conlleva una exposición estructural equivalente. El Consejo de Seguridad de Arbitrum congeló 30.766 ETH en fondos derivados vinculados al atacante el 20 de abril de 2026, limitando parcialmente el impacto más amplio de la infracción en el mercado.

Fuente principal: LayerZero Labs – An Overdue Apology, 8 de mayo de 2026 Las empresas de ciberseguridad Mandiant y CrowdStrike atribuyeron el ataque con gran confianza a UNC4899, también conocido como TraderTraitor, un grupo de amenazas vinculado al estado de Corea del Norte. El total robado fue de 292 millones de dólares a precios de mercado el día de la infracción, según el último incidente de LayerZero.