Ataque al Puente de KelpDAO: Informe de Incidente de LayerZero Labs
LayerZero Labs ha publicado su informe de incidente sobre el ataque al puente de KelpDAO, confirmando que aproximadamente $292 millones en rsETH fueron robados después de que los atacantes comprometieron la infraestructura RPC utilizada por su red de verificación. Este incidente ha forzado cambios significativos de política en torno a las configuraciones de firmante único.
Según el informe detallado, los atacantes robaron aproximadamente 116,500 rsETH al comprometer la infraestructura de la capa de verificación utilizada en la configuración entre cadenas de KelpDAO. El incidente se limitó a la configuración de rsETH de KelpDAO porque la aplicación dependía de una configuración DVN de 1-de-1, con LayerZero Labs como único verificador. LayerZero señaló que este diseño contradecía directamente sus recomendaciones establecidas de utilizar configuraciones DVN múltiples y diversificadas con redundancia.
LayerZero afirmó que no hubo
contagio alguno a otros activos entre cadenas o aplicaciones
, argumentando que la arquitectura de seguridad modular del protocolo contenía el impacto del incidente incluso cuando una configuración a nivel de aplicación falló.
Detalles Técnicos del Ataque y Respuesta de Seguridad
Según el informe, el ataque del 18 de abril de 2026 se dirigió a la infraestructura RPC en la que se basaba el DVN de LayerZero Labs, en lugar de explotar el protocolo LayerZero, la gestión de claves o el software DVN. Los atacantes obtuvieron acceso a la lista de RPC utilizadas por el DVN, comprometieron dos nodos en clústeres separados, reemplazaron binarios en nodos op-geth y utilizaron cargas útiles maliciosas para alimentar datos de transacciones falsificadas al verificador, mientras devolvían datos veraces a otros puntos finales, incluidos servicios de monitoreo interno. Para completar el exploit, lanzaron ataques DDoS contra puntos finales RPC no comprometidos, provocando una conmutación por error hacia los nodos envenenados.
Chainalysis vinculó el ataque al Grupo Lazarus de Corea del Norte, específicamente a TraderTraitor, confirmando que los atacantes falsificaron un mensaje entre cadenas al envenenar nodos RPC internos y abrumar los externos en una configuración de verificación con punto único de fallo. El mensaje falsificado drenó $292 millones del puente de KelpDAO en menos de 46 minutos, convirtiéndolo en una de las mayores pérdidas DeFi de 2026.
La respuesta inmediata de LayerZero incluyó deprecar y reemplazar todos los nodos RPC afectados, restaurar el DVN de LayerZero Labs a la operación, contactar a las agencias de aplicación de la ley y trabajar con socios de la industria y Seal911 para rastrear los fondos robados.
Más importante aún, LayerZero está implementando cambios significativos en su política de seguridad. La empresa anunció que su DVN
no firmará ni atestiguará mensajes de ninguna aplicación que utilice una configuración 1/1
, un cambio directo destinado a prevenir una repetición del modo de fallo de KelpDAO. Además, se está comunicando con proyectos que aún utilizan configuraciones 1/1 para migrarlos a modelos multi-DVN con redundancia, reconociendo efectivamente que la flexibilidad de configuración sin protecciones de seguridad forzadas fue demasiado permisiva.
Este incidente ilustra una lección crítica para la infraestructura entre cadenas: los contratos inteligentes pueden permanecer intactos y el protocolo aún puede fallar en la práctica si la capa de confianza fuera de cadena es lo suficientemente débil. LayerZero ahora busca demostrar que la conclusión correcta de un robo de puente de $292 millones no es que la seguridad modular falló, sino que permitir configuraciones de firmante único fue el verdadero error.
