Brecha de $290M en Kelp DAO vinculada al Grupo Lazarus y seguridad débil del puente

Puntos Clave

• Aproximadamente $290–293 millones fueron robados de Kelp DAO tras un sofisticado ataque a nodos RPC conectados al sistema de verificación de LayerZero
• Kelp DAO supuestamente ignoró las recomendaciones de seguridad de LayerZero para implementar múltiples verificadores, operando con solo un verificador
• La evidencia preliminar apunta al Lazarus Group de Corea del Norte como los perpetradores detrás de esta brecha de seguridad
• Nueve plataformas DeFi, más notablemente Aave, experimentaron daños en cascada, con el Valor total bloqueado (TVL) de Aave disminuyendo en $6 mil millones
• En adelante, LayerZero ha declarado que se negará a apoyar aplicaciones que operen con configuraciones de verificador único

En lo que representa una de las brechas de seguridad más significativas de las finanzas descentralizadas de 2026, Kelp DAO sufrió pérdidas que totalizaron aproximadamente $290–293 millones durante un ataque de fin de semana. LayerZero, el protocolo de mensajería Cross-chain utilizado en el incidente, ha atribuido la vulnerabilidad a las decisiones de infraestructura de Kelp.

La brecha se centró en el mecanismo de transferencia de tokens rsETH de Kelp a través de diferentes redes blockchain. Operar con una arquitectura de verificador único significaba que solo una autoridad necesitaba validar las transferencias entre cadenas. Según LayerZero, la compañía había advertido explícitamente a Kelp sobre esta configuración e instado a la adopción de múltiples fuentes de verificación independientes.

Los hackers infiltraron dos nodos de llamada de procedimiento remoto—servidores especializados que permiten al software interactuar con datos de blockchain. Estos nodos legítimos fueron reemplazados con versiones comprometidas que entregaron información fraudulenta al sistema de verificación de LayerZero mientras mantenían apariencias normales ante otros componentes de infraestructura.

Dado que el proceso de verificación de LayerZero también consultaba nodos externos legítimos, los atacantes lanzaron una campaña de denegación de servicio distribuida para deshabilitar esos sistemas. Esta táctica redirigió el tráfico de red a través de la infraestructura comprometida durante una ventana de 80 minutos desde las 10:20 a.m. hasta las 11:40 a.m. hora del Pacífico el sábado.

Cuando se activó el mecanismo de conmutación por error, los nodos maliciosos transmitieron confirmación de una transacción legítima al verificador. El protocolo puente entre cadenas de Kelp posteriormente liberó 116,500 rsETH a las billeteras de los atacantes. El software hostil luego se eliminó a sí mismo, borrando toda evidencia forense de los servidores afectados.

Impacto en Cascada en Todo el Ecosistema DeFi

Los tokens rsETH robados fueron desplegados como activos de garantía en varias plataformas de préstamos, permitiendo a los atacantes retirar activos genuinos. Aave, la plataforma de préstamos descentralizada dominante, absorbió el daño más sustancial.

Aave se encontró manteniendo garantía rsETH ilíquida mientras activos valiosos como ETH ya habían sido extraídos a través de mecanismos de préstamo. El Token nativo de Aave se desplomó aproximadamente un 15% en un período de 24 horas, mientras que el protocolo experimentó aproximadamente $6 mil millones en retiros mientras los participantes se apresuraban a retirar sus fondos.

No menos de nueve aplicaciones DeFi experimentaron daños, incluyendo Fluid, Compound Finance, SparkLend y Euler. La firma de ciberseguridad Cyvers caracterizó el incidente como un "evento de contagio entre protocolos" que se extiende mucho más allá de la vulnerabilidad de una sola plataforma.

Con confianza preliminar, LayerZero ha conectado este ataque al Lazarus Group de Corea del Norte, específicamente a su división TraderTraitor. Esta misma organización estuvo implicada en la brecha de Drift Protocol de $285 millones el 1 de abril, indicando que Lazarus ha extraído más de $575 millones de las finanzas descentralizadas en un período de 18 días utilizando dos metodologías de ataque distintas.

Ajustes del Protocolo de Seguridad

LayerZero no reporta evidencia de vulnerabilidad que se extienda a aplicaciones que operan con arquitecturas de múltiples verificadores. La compañía ha restaurado su servicio de verificación y anunciado una política permanente negándose a procesar mensajes para cualquier aplicación que utilice configuraciones de verificador único.

El fundador de Curve Finance, Michael Egorov, enfatizó que esta brecha demuestra los riesgos inherentes de depender de fuentes solitarias de verificación de transacciones. Además advirtió contra la utilización de infraestructura Cross-chain a menos que sea operacionalmente esencial.

Kelp ha permanecido en silencio respecto a la versión de eventos de LayerZero y no ha abordado por qué el protocolo continuó operando con una arquitectura de verificador único a pesar de recibir advertencias de seguridad explícitas.

La publicación "Brecha de $290M en Kelp DAO Vinculada al Lazarus Group y Seguridad Débil del Puente" apareció primero en Blockonomi.