✨︎ Resumen (TL;DR):
- Lazarus Group extrajo 292 millones de dólares en tokens rsETH del puente de KelpDAO.
- El mercado DeFi perdió un 7% de su valor total bloqueado tras la congelación de plataformas como Aave.
- KelpDAO y LayerZero chocan públicamente sobre la responsabilidad de la vulnerabilidad en los validadores.
El grupo norcoreano Lazarus ejecutó el mayor hackeo de finanzas descentralizadas de 2026 al drenar 292 millones de dólares en tokens rsETH del puente cross-chain de KelpDAO el 18 de abril. El ataque detonó un conflicto público entre la plataforma afectada y el protocolo LayerZero sobre la responsabilidad de la configuración que permitió el desfalco.
EndpointV2 es un contrato inteligente de LayerZero que procesa y encamina las operaciones de mensajería entre diferentes cadenas de bloques.
A las 5:35 p.m. UTC, los atacantes llamaron una función en este contrato y extrajeron 116,500 rsETH, cifra que representa el 18% del suministro circulante del activo. El investigador on-chain ZachXBT detectó seis carteras financiadas mediante Tornado Cash 10 horas antes de la operación.
En lugar de explotar un bug en un smart contract, los hackers comprometieron dos nodos RPC conectados a la red de validación de LayerZero. Luego lanzaron un ataque DDoS contra los servidores estables para forzar el tráfico de la red hacia las rutas infectadas.
KelpDAO operaba con un único validador (1 de 1), lo que eliminó cualquier filtro independiente para rechazar el mensaje falsificado. La startup utilizó su multisig de emergencia para pausar los contratos 46 minutos después, logrando bloquear dos intentos adicionales que buscaban extraer 40,000 rsETH cada uno.
El colapso del mercado DeFi y la fractura técnica
Los criminales depositaron de inmediato los tokens en Aave V3 como colateral, pidieron prestado ether envuelto e iniciaron el proceso de lavado a través de Tornado Cash. Aave, Compound y SparkLend respondieron congelando sus mercados de rsETH.
- El valor total bloqueado (TVL) del sector DeFi cayó un 7% en 24 horas, aterrizando en 86,000 millones de dólares, según registros de DefiLlama.
- Aave registró salidas de liquidez superiores a los 10,000 millones de dólares.
- El Consejo de Seguridad de Arbitrum congeló 30,766 ETH (equivalentes a 71 millones de dólares) vinculados al ataque en una acción de emergencia el 20 de abril.
El lunes, KelpDAO rechazó frontalmente la narrativa sobre su mala gestión de seguridad. Mediante un comunicado en X, el equipo aseguró que su configuración “siguió los valores predeterminados documentados por LayerZero” y advirtió que la infraestructura comprometida “es parte de la propia infraestructura de LayerZero”.
LayerZero mantuvo su postura inicial, argumentando que su protocolo es íntegro y que advirtió repetidamente a KelpDAO sobre los riesgos de no usar múltiples validadores. La empresa tecnológica anunció que de ahora en adelante se negará a firmar mensajes para cualquier aplicación que opere con un diseño de un solo validador.
La firma atribuyó la intrusión con “confianza preliminar” a la subunidad TraderTraitor de Lazarus. El caso expone las debilidades críticas en la arquitectura cross-chain, cerrando un mes de abril letal donde más de 600 millones de dólares abandonaron los ecosistemas DeFi tras incidentes previos como el de Drift Protocol en Solana.
