LayerZero Labs carta abierta intenta explicar los fallos en torno a la hackeo de KelpDAO

LayerZero Labs publicó una carta abierta explicando sus fallos en comunicación y operaciones tras el hackeo de KelpDAO por parte del Grupo Lazarus. El ciberataque no afectó el protocolo de LayerZero Labs, pero sí sus sistemas internos, lo que llevó a la firma a reconocer errores en operaciones anteriores.

LayerZero Labs publicó su carta de disculpa el 8 de mayo de 2026.

LayerZero admite el uso indebido previo de multisig.

Alrededor del 19 de abril de 2026, el Grupo Lazarus atacó los nodos RPC internos de LayerZero Labs, que eran utilizados por su red DVN. Los atacantes corrompieron la fuente de verdad de estos RPC internos y, al mismo tiempo, lanzaron un ataque DDoS contra el proveedor externo de RPC de LayerZero Labs. LayerZero aclaró que durante este incidente no se vio afectado el protocolo LayerZero.

Según Cryptopolitan, el hackeo solo afectó a una aplicación, que representa el 0.14% de todas las aplicaciones de LayerZero y el 0.36% del valor total de activos bridged en la plataforma. La brecha llevó a la explotación de rsETH por 300 millones de dólares dirigida a KelpDAO.

En la disculpa, LayerZero Labs también comentó sobre otro problema de seguridad ocurrido hace tres años y medio. En una ocasión, un firmante utilizó la billetera de hardware destinada a transacciones multisig para una transacción individual de comercio de la memecoin McPepes en Uniswap usando su billetera personal.

Un firmante fue reemplazado, las billeteras fueron intercambiadas y se implementaron medidas para evitar ocurrencias similares en el futuro.

Esto contradecía directamente declaraciones públicas previas del cofundador de LayerZero, Bryan Pellegrino, quien había referido tales actividades como “pruebas estándar de OFT” menos de 24 horas antes. Algunos usuarios señalaron la discrepancia, observando que las memecoins involucradas habían sido vistas en muchas transacciones desde la misma billetera multisig durante bastante tiempo.

Según Cryptopolitan, LayerZero aclaró que su mecanismo multisig solo permite controlar la funcionalidad de Endpoint, incluyendo la adición de cadenas y actualizaciones de prueba predeterminadas.

LayerZero impulsa a los desarrolladores a mejorar la seguridad.

LayerZero ha reiterado su arquitectura fundamental, diseñada para eliminar puntos únicos de fallo comunes en los puentes tradicionales. Cada aplicación puede poseer de forma independiente su seguridad de extremo a extremo sin depender de LayerZero Labs.

La compañía aconsejó a los desarrolladores tomar medidas concretas: fijar todas las configuraciones para evitar ajustes predeterminados controlados por LayerZero Labs; aumentar las confirmaciones de bloques en cada cadena para minimizar riesgos de reorganización; configurar los DVNs con al menos dos (preferiblemente tres a cinco) partes independientes; y considerar operar su propio DVN requerido.

La compañía también ha listado algunas suposiciones sobre confianza y vivacidad. Las aplicaciones predeterminadas de LayerZero Labs y el DVN que dependen de un solo verificador confían en toda la confianza del multisig de LayerZero Labs. Los servicios de retransmisión de gas, como Essence y los ejecutores de LayerZero, solo afectan la vivacidad.

Tras el evento, LayerZero Labs ya no soporta DVN en la configuración 1/1; en su lugar, las rutas predeterminadas se han actualizado a configuraciones 5/5 o 3/3, donde sea posible, y se está desarrollando un cliente DVN en Rust.

Implicaciones DeFi del brecha en LayerZero.

La respuesta al ataque fue recibida con críticas inmediatas por su intento inicial de desviar la responsabilidad a sus socios. KelpDAO y Solv Protocol ya han cambiado sus sistemas a Chainlink, y Beefy, Ethena, BitGo, Lombard y muchos otros están reconsiderando sus integraciones.

Existen preocupaciones sobre la reducción en los volúmenes de transacciones bridged, ganancias de Stargate y recompras de $ZRO token.

¿Ya no se puede salvar LayerZero?

Tras la explotación de ~$300M rsETH, @LayerZero_Core culpó a sus socios en lugar de asumirlo, y sintieron las consecuencias de inmediato. @KelpDAO y @SolvProtocol ya se han ido, migrando a @Chainlink.

No solo eso, los proyectos abajo… pic.twitter.com/hkKHCHXGou

— Winter Soldier ❄️🙋🏻‍♂️ (@WinterSoldierxz) 9 de mayo de 2026

LayerZero Labs prometió 5,000 ETH al plan de rescate DeFi United y otros 5,000 ETH para mantener los pools de liquidez de Aave en respuesta al ataque. Sin embargo, el incidente generó un debate más amplio sobre la seguridad en los protocolos cross-chain, a pesar de la disculpa expresada y la promesa de mejorar el umbral multisig, que está establecido en 7/10 usando OneSig.

LayerZero Labs sostiene que el protocolo sigue siendo un instrumento esencial para realizar transacciones seguras y de gran tamaño, pero será necesario esperar unas semanas para ver cómo avanzan los desarrolladores y las organizaciones.

Tu banco usa tu dinero. Tú solo recibes las migajas. Mira nuestro video gratuito sobre cómo convertirte en tu propio banco.