LayerZero publica informe de investigación: Análisis de las causas y el proceso del hackeo a KelpDAO

Fuente: LayerZero; Traducción: Golden Finance Claw

Declaración sobre el incidente de ataque a KelpDAO

El 18 de abril de 2026, KelpDAO fue atacado, con una pérdida aproximada de 290 millones de dólares. Los indicios preliminares sugieren que este ataque provino de un grupo de hackers de alto nivel, altamente sofisticado, con apoyo estatal, muy probablemente la Lazarus Group de Corea del Norte (específicamente la rama TraderTraitor). Este incidente estuvo limitado únicamente a la configuración rsETH de KelpDAO, su causa directa fue la adopción de una configuración de DVN (Red de Validación Descentralizada) única. No hay riesgo de contagio para otros activos o aplicaciones cross-chain.

Este ataque altamente sofisticado afectó la infraestructura de RPC (llamada a procedimiento remoto) en la que se basa la DVN de LayerZero Labs. Actualmente, todos los nodos RPC afectados han sido desactivados y reemplazados, y la DVN de LayerZero Labs ya está en línea nuevamente.

Compartimos estos detalles con el objetivo de ayudar a la comunidad a comprender mejor y prevenir este tipo de vectores de ataque emergentes, respaldados por estados.

Contexto: Arquitectura de seguridad modular de LayerZero

El protocolo LayerZero se basa en una arquitectura de seguridad modular y configurable por la aplicación. Las Redes de Validación Descentralizadas (DVNs) son entidades independientes responsables de verificar la integridad de los mensajes entre cadenas. Es crucial destacar que el protocolo no impone una única configuración de seguridad. Por el contrario, autoriza a cada aplicación y emisor de activos a definir su propio perfil de seguridad, incluyendo qué DVN dependen, cómo combinarlos y qué umbrales de redundancia establecer.

La mejor práctica de la industria — también recomendada explícitamente por LayerZero a todos los integradores — es configurar múltiples DVNs con diversidad y redundancia. Esto significa que ninguna DVN individual debe representar un punto de confianza o fallo único.

Alcance y contagio: solo rsETH

Hemos realizado una revisión exhaustiva de las integraciones de actividades en el protocolo LayerZero. Podemos confirmar con certeza que no existe riesgo de contagio a otros activos o aplicaciones. El incidente fue completamente aislado a la configuración de DVN única de KelpDAO, específicamente en su rsETH.

La aplicación afectada es rsETH emitido por KelpDAO. En el momento del incidente, su configuración de OApp dependía de una configuración de DVN “1 por 1”, confiando únicamente en LayerZero Labs como verificadores — una configuración que viola directamente el modelo de redundancia de múltiples DVNs que LayerZero siempre recomienda a sus socios. Tener una configuración de punto único de fallo significa que no hay verificadores independientes que puedan detectar y rechazar mensajes falsificados. LayerZero y otras instituciones externas ya habían comunicado a KelpDAO las mejores prácticas para la diversificación de DVNs, pero a pesar de estas recomendaciones, KelpDAO optó por usar una configuración 1/1 de DVN.

Si se hubiera adoptado una configuración reforzada adecuada, el ataque habría requerido consenso entre múltiples DVNs independientes, y cualquier compromiso de un solo DVN no habría sido suficiente para que el ataque tuviera éxito.

Detalles del incidente

El 18 de abril de 2026, la DVN de LayerZero Labs fue objetivo de un ataque altamente sofisticado. Los atacantes manipularon o “envenenaron” la infraestructura RPC downstream, comprometiendo la cantidad legal (Quorum) de RPC en la que se basa la validación de transacciones de la DVN. Esto no ocurrió por una vulnerabilidad en el protocolo, en la DVN en sí o en la gestión de claves.

En cambio, los atacantes obtuvieron la lista de RPC que usa nuestra DVN, comprometieron dos nodos independientes y reemplazaron los binarios que ejecutan el nodo op-geth. Debido a nuestro principio de “menor privilegio”, no pudieron comprometer la instancia real de la DVN. Sin embargo, usaron esto como trampolín para realizar un ataque de engaño RPC:

• El nodo malicioso envió cargas útiles personalizadas para falsificar mensajes a la DVN.

• Este nodo mintió a la DVN, pero reportó información real a cualquier otra IP (incluyendo nuestros servicios de escaneo y monitoreo interno). Este diseño cuidadoso evitó que las detecciones de seguridad detectaran anomalías.

• Tras completar el ataque, el nodo malicioso se autodestruyó, desactivó RPC y eliminó los binarios maliciosos y los registros relacionados.

Además, los atacantes también lanzaron ataques DDoS a los RPC no comprometidos, provocando que el sistema cambiara automáticamente (failover) a los nodos RPC envenenados. Como resultado, la instancia de DVN operada por LayerZero Labs confirmó transacciones que en realidad nunca ocurrieron.

Estado de seguridad de LayerZero Labs

Operamos con un sistema completo de detección y respuesta en endpoints (EDR), controles de acceso estrictos, entornos completamente aislados y registros de todo el sistema. Nuestros nodos RPC, tanto internos como externos, están en operación. Actualmente, estamos en la fase final de una auditoría SOC2.

Camino a seguir

1. Recuperación de la DVN: La DVN de LayerZero Labs ha sido restaurada. Las aplicaciones que usan múltiples DVNs pueden reanudar operaciones con confianza.

2. Migración forzada: Nos estamos comunicando con todas las aplicaciones que usan una configuración 1/1 de DVN, solicitándoles migrar a una configuración redundante de múltiples DVNs. La DVN de LayerZero Labs ya no firmará ni validará mensajes para aplicaciones que usen una configuración 1/1.

3. Colaboración con la ley: Estamos colaborando con varias agencias de aplicación de la ley en todo el mundo y apoyando a socios de la industria y Seal911 en el rastreo de fondos.

Resumen

Queremos dejar claro que: el protocolo LayerZero en sí mismo funcionó completamente como se esperaba durante todo el incidente. No se detectaron vulnerabilidades en el protocolo. Si se tratara de un sistema único o de un sistema de seguridad compartido, el riesgo de contagio podría afectar a todas las aplicaciones. La característica definitoria de la arquitectura de LayerZero es su seguridad modular, que en este caso cumplió su función: el ataque quedó completamente aislado en una sola aplicación, sin riesgo de contagio en el sistema.

Continuaremos comprometidos con la seguridad y la integridad del ecosistema LayerZero.