un error operativo de KelpDAO permitió drenar los USD 292 millones 

El equipo detrás de LayerZero Labs publicó este 20 de abril un informe técnico sobre el hackeo que drenó USD 292 millones en el token rsETH de KelpDAO. Según el documento, la causa directa fue una decisión de configuración de KelpDAO que contradecía las recomendaciones expresas del protocolo y además señaló como responsable al Grupo de hackers norcoreano Lazarus.

De acuerdo con el reporte, KelpDAO operaba con una configuración 1-de-1 DVN, lo que implica depender de un único verificador de transacciones entre cadenas que era el propio DVN de LayerZero Labs, sin ningún verificador independiente adicional.

Un DVN (Red de Verificadores Descentralizados) es el componente que confirma que un mensaje enviado entre dos redes es legítimo antes de ejecutarlo. LayerZero sostiene que recomendó a KelpDAO y a todos sus integradores adoptar configuraciones con múltiples DVN, de modo que ningún verificador represente un punto único de falla.

¿Cómo operó el ataque?

Conforme a la investigación de LayerZero, el atacante no explotó el código de LayerZero ni el de KelpDAO. En cambio, apuntó a los servidores que el DVN de LayerZero Labs usaba para consultar el estado de la red Ethereum y verificar que las transacciones fueran legítimas. Esos servidores se llaman nodos RPC.

El atacante identificó cuáles usaba el DVN, comprometió dos de ellos (alojados en infraestructuras independientes entre sí) y reemplazó su software por versiones manipuladas, capaces de enviarle al DVN información falsa sobre transacciones que nunca ocurrieron.

Según el mismo reporte, los nodos adulterados respondían con datos falsos únicamente cuando el DVN de LayerZero les consultaba, pero respondían con normalidad ante cualquier otro sistema, incluidos los de monitoreo interno de LayerZero. Eso impidió que las alertas detectaran anomalías.

Para completar el ataque, el perpetrador ejecutó un DDoS (ataque de denegación de servicio, que consiste en saturar un sistema con solicitudes hasta dejarlo inoperativo) sobre los nodos RPC no comprometidos, forzando al DVN a depender únicamente de los nodos envenenados. El resultado fue que el DVN validó transferencias de rsETH de KelpDAO que nunca ocurrieron, liberando los fondos.

Con una configuración multi-DVN, señala LayerZero, un segundo verificador independiente habría rechazado el mensaje falso y el ataque no habría prosperado. Fue la configuración 1-de-1 de KelpDAO la que hizo posible que el compromiso de un solo DVN fuera suficiente para consumar el robo.

Adicionalmente, con base en los indicadores relevados durante la investigación, LayerZero atribuye el ataque al Grupo Lazarus de Corea del Norte (específicamente a la unidad conocida como TraderTraitor), calificándolo como un actor estatal «altamente sofisticado». Esa atribución no tiene corroboración externa independiente hasta ahora.

Abril registra la mayoría y los hackeos más grandes del año

El hackeo a KelpDAO no es un hecho aislado, ya que, como lo notificó KriptoNoticias, el ecosistema de criptomonedas registró al menos 13 incidentes de seguridad en las primeras dos semanas de abril, con pérdidas acumuladas en 2026 que superan los USD 450 millones adicionales al hackeo de KelpDAO. Abril concentra gran parte de ese total.

En ese marco, los vectores de ataque van desde contratos inteligentes mal auditados, manipulación de infraestructura de nodos, ingeniería social e incluso amenazas internas. El caso de KelpDAO suma ahora el envenenamiento de infraestructura RPC como modalidad documentada de ataque a puentes entre cadenas.

Como medida inmediata, LayerZero anunció que su DVN dejará de firmar mensajes de aplicaciones con configuración 1-de-1 y contactará a todos los integradores en esa situación para migrarlos a esquemas con redundancia. La atribución del ataque al Grupo Lazarus de Corea del Norte, sostenida por LayerZero, permanece sin confirmación externa independiente.