LayerZero publica informe de investigación: Análisis de las causas y el proceso del hackeo a KelpDAO

Fuente: LayerZero; Traducción: Jinse Caijing Claw

Declaración sobre el incidente de ataque a KelpDAO

El 18 de abril de 2026, KelpDAO fue atacado, con una pérdida aproximada de 290 millones de dólares.
Las primeras indicaciones sugieren que este ataque provino de un grupo de hackers de nivel estatal altamente sofisticado, muy probablemente la Lazarus Group de Corea del Norte (específicamente la rama TraderTraitor).
Este incidente estuvo limitado a la configuración rsETH de KelpDAO, su causa directa fue la adopción de una configuración de DVN (red de verificación descentralizada) única.
Otros activos o aplicaciones cross-chain no presentan ningún riesgo de contagio.

Este ataque altamente sofisticado fue dirigido a la infraestructura de RPC (llamada a procedimiento remoto) de nivel inferior utilizada por LayerZero Labs DVN.
Actualmente, todos los nodos RPC afectados han sido descontinuados y reemplazados, y LayerZero Labs DVN ya está en línea nuevamente.

Compartimos estos detalles con el objetivo de ayudar a la comunidad a entender mejor y prevenir este tipo de vectores de ataque emergentes respaldados por estados.

Contexto: Arquitectura de seguridad modular de LayerZero

El protocolo LayerZero se basa en una arquitectura de seguridad modular y configurable por la aplicación.
Las redes de verificación descentralizadas (DVNs) son entidades independientes responsables de verificar la integridad de los mensajes cross-chain.
Es crucial que el protocolo no imponga una configuración de seguridad única.
Por el contrario, autoriza a cada aplicación y emisor de activos a definir su propio perfil de seguridad, incluyendo qué DVN dependen, cómo los combinan y qué umbrales de redundancia establecen.

La mejor práctica de la industria — también recomendada claramente por LayerZero a todos los integradores — es configurar múltiples DVN con diversidad y redundancia.
Esto significa que ningún DVN individual debe representar un punto de confianza o fallo unilateral.

Alcance y contagio: solo rsETH

Hemos realizado una revisión exhaustiva de las integraciones de actividades en el protocolo LayerZero.
Podemos confirmar con certeza que no existe riesgo de contagio a otros activos o aplicaciones.
Este incidente fue completamente aislado a la configuración de DVN único de KelpDAO, específicamente en su configuración rsETH.

La aplicación afectada es rsETH emitido por KelpDAO.
En el momento del incidente, su configuración OApp dependía de una configuración de DVN “1 de 1”, confiando únicamente en LayerZero Labs como verificadores — una configuración que viola directamente el modelo de redundancia de múltiples DVN que LayerZero siempre recomienda a sus socios.
Operar con una configuración de punto único de fallo significa que no hay verificadores independientes que puedan detectar y rechazar mensajes falsificados.
Anteriormente, LayerZero y otras instituciones externas habían comunicado a KelpDAO las mejores prácticas para diversificar los DVN, pero a pesar de estas recomendaciones, KelpDAO optó por usar una configuración 1/1 de DVN.

Si se hubiera adoptado una configuración reforzada adecuada, el ataque requeriría consenso entre múltiples DVN independientes, y aunque un DVN fuera comprometido, el ataque fallaría.

Detalles del incidente

El 18 de abril de 2026, el DVN de LayerZero Labs fue objetivo de un ataque altamente sofisticado.
Los atacantes manipularon o “envenenaron” la infraestructura RPC de nivel inferior, comprometiendo la cantidad legal (Quorum) de RPC en la que se basaba la verificación de transacciones del DVN.
Esto no ocurrió mediante una vulnerabilidad en el protocolo, en el DVN en sí o en la gestión de claves.

En cambio, los atacantes obtuvieron la lista de RPC que usa nuestro DVN, comprometieron dos nodos independientes y reemplazaron los binarios que ejecutan el nodo op-geth.
Siguiendo nuestro principio de “mínimos privilegios”, no pudieron comprometer la instancia real del DVN.
Sin embargo, usaron esto como punto de apoyo para realizar un ataque de engaño RPC:

• El nodo malicioso usó cargas útiles personalizadas para falsificar mensajes al DVN.

• Ese nodo mintió al DVN, pero reportó información real a cualquier otra IP (incluyendo nuestros servicios de escaneo y monitoreo interno).
  Esta estrategia cuidadosamente diseñada evitó que las detecciones de seguridad detectaran anomalías.

• Tras completar el ataque, el nodo malicioso se autodestruyó, desactivó RPC y eliminó los binarios maliciosos y los registros relacionados.

Además, los atacantes también lanzaron ataques DDoS a los RPC no comprometidos, provocando un cambio de sistema (failover) a los nodos RPC envenenados.
Como resultado, la instancia del DVN operada por LayerZero Labs confirmó transacciones que en realidad nunca ocurrieron.

Estado de seguridad de LayerZero Labs

Operamos con detección y respuesta en endpoints completos (EDR), controles de acceso estrictos, entornos completamente aislados y registros de todo el sistema.
Nuestros nodos RPC, tanto internos como externos, están en operación.
Actualmente, estamos en la fase final de una auditoría SOC2.

Camino a seguir

1. Recuperación del DVN: El DVN de LayerZero Labs ha sido restaurado.
   Las aplicaciones con configuración de múltiples DVN pueden reanudar operaciones con confianza.

2. Migración forzada: Nos estamos contactando con todas las aplicaciones que usan configuración 1/1 de DVN, solicitándoles migrar a una configuración redundante de múltiples DVN.
   LayerZero Labs no firmará ni validará mensajes de aplicaciones que usen configuración 1/1.

3. Colaboración con la ley: Estamos trabajando con varias agencias de aplicación de la ley en todo el mundo y apoyando a socios de la industria y a Seal911 en el rastreo de fondos.

Resumen

Queremos dejar algo claro:
El protocolo LayerZero en sí mismo funcionó completamente como se esperaba durante todo el incidente.
No se detectaron vulnerabilidades en el protocolo.
Si fuera un sistema único o compartido en seguridad, el riesgo de contagio podría afectar a todas las aplicaciones.
La característica definitoria de la arquitectura de LayerZero es su seguridad modular, y en este caso, esa modularidad cumplió su función:
El ataque quedó completamente aislado en una sola aplicación, sin riesgo de contagio en el sistema.

Continuaremos comprometidos con la seguridad y la integridad del ecosistema LayerZero.