LayerZero primer diseño equivocado: análisis de las vulnerabilidades de seguridad detrás del hack de 290 millones de dólares a KelpDAO

LayerZero admite que hubo errores en el diseño de su estructura durante el hackeo a KelpDAO, principalmente debido a un fallo en el modo de verificación único, lo que llevó a una pérdida de activos de 292 millones de dólares.

KelpDAO hackeo, LayerZero se responsabiliza públicamente por primera vez

El protocolo de comunicación entre cadenas LayerZero anunció recientemente que reconocía por primera vez que existían errores en su diseño estructural durante el incidente de hackeo a KelpDAO. Este evento causó una pérdida de aproximadamente 292 millones de dólares en activos y se convirtió en uno de los ataques DeFi de mayor escala en 2026 hasta la fecha.

Según la explicación oficial, el problema principal provino de que la configuración de interoperabilidad de KelpDAO utilizaba un modo de “Verificador Único (Single Verifier)”, lo que permitió a los atacantes aprovechar el envenenamiento de RPC y fallos en el proceso de verificación para falsificar información entre cadenas y eludir las controles de seguridad.

El cofundador de LayerZero expresó públicamente: “Cometimos errores, asumimos la responsabilidad (We own that)”. Esta fue la primera vez que LayerZero admitió directamente en un incidente de seguridad importante que había problemas en el diseño del protocolo.

Tras el incidente, la comunidad cuestionó rápidamente el modelo de seguridad de LayerZero. Dado que LayerZero ha promovido durante mucho tiempo una “arquitectura de seguridad personalizable”, permitiendo a los desarrolladores elegir verificadores y configuraciones de seguridad, algunos desarrolladores optaron por modos de verificación con menor seguridad para reducir costos y aumentar la eficiencia. Este evento se considera la primera gran manifestación de los riesgos asociados a esa arquitectura.

• Noticias relacionadas: ¡Kelp DAO vuelve a ser hackeado en su protocolo de staking! Se perdieron 290 millones en una hora, te explicamos cómo sucedió

El diseño de verificador único como la mayor brecha

Según el informe de incidentes publicado por LayerZero, KelpDAO eligió durante su despliegue un modo de verificación de una sola red de verificadores descentralizados (DVN), en lugar de una estructura de múltiples verificadores. Esto significa que si un solo nodo verificador se ve comprometido o engañado, el atacante puede falsificar información entre cadenas.

En este ataque, los hackers utilizaron técnicas de envenenamiento de RPC para contaminar el estado en la cadena de algunos nodos, haciendo que los verificadores juzgaran incorrectamente la veracidad de la información, permitiendo que activos falsificados cruzaran con éxito. Dado que los puentes entre cadenas implican la sincronización y verificación en múltiples cadenas, si la fuente de verificación presenta problemas, puede resultar en la creación o transferencia de activos de forma fraudulenta.

LayerZero enfatiza que el protocolo originalmente soportaba configuraciones de verificación múltiple con mayor seguridad, pero KelpDAO no activó esa estructura completa en su momento. Sin embargo, la comunidad critica que LayerZero presenta problemas en su diseño de producto y en la documentación, ya que los desarrolladores pueden subestimar los riesgos de diferentes configuraciones de seguridad.

Algunos investigadores en seguridad señalan que este incidente revela un problema fundamental que ha existido en los protocolos de interoperabilidad durante años. Aunque muchas soluciones de interoperabilidad afirman ser descentralizadas, en realidad dependen en gran medida de unos pocos nodos verificadores, proveedores de RPC o infraestructura de retransmisión. Si alguna de estas capas se ve comprometida, puede afectar todo el proceso de verificación de activos.

El debate sobre el modelo de seguridad de los protocolos entre cadenas se reaviva

Tras el incidente de KelpDAO, la comunidad DeFi volvió a discutir la lógica de seguridad de los protocolos de interoperabilidad. En años recientes, sistemas como Wormhole, Ronin Network y Harmony han sido víctimas de ataques masivos debido a vulnerabilidades en sus mecanismos de verificación. La confianza en los puentes entre cadenas ha estado en un estado de vulnerabilidad constante.

LayerZero, en el pasado, promovió una arquitectura de “Nodos Ultra Livianos” (Ultra Light Node), con la intención de reducir costos y barreras de despliegue, además de permitir a los desarrolladores elegir configuraciones de seguridad mediante un diseño modular. Sin embargo, este incidente muestra que la “personalización de seguridad” puede ser un arma de doble filo. Cuando el protocolo delega gran parte de la responsabilidad de seguridad a las aplicaciones, si los equipos de desarrollo carecen de suficiente capacidad en ciberseguridad, pueden introducir riesgos aún mayores.

Expertos en seguridad opinan que en el futuro, los protocolos entre cadenas probablemente tenderán a adoptar configuraciones de “alta seguridad predeterminada”, en lugar de permitir que los desarrolladores ajusten opciones de menor costo. Además, con la entrada de fondos institucionales en los mercados financieros en cadena, las exigencias en materia de seguridad y responsabilidad se volverán más estrictas.

La infraestructura de DeFi entra en una fase de revisión fundamental

Este incidente no solo representa un hackeo aislado. Muchos equipos de desarrollo están revisando sus configuraciones de interoperabilidad, fuentes de RPC y arquitecturas de verificadores, y algunos protocolos han aumentado de forma urgente los requisitos de verificación o han suspendido funciones entre cadenas.

Por otro lado, empresas y centros de investigación en seguridad en blockchain advierten que en el futuro, los atacantes podrían centrarse menos en vulnerar contratos inteligentes directamente y más en atacar la infraestructura subyacente, incluyendo RPC, redes de verificación, oráculos y sistemas de información entre cadenas. Este tipo de ataques suele ser más difícil de detectar y puede afectar grandes sumas de fondos.

La admisión pública de errores por parte de LayerZero refleja, en cierto modo, que la infraestructura DeFi comienza a afrontar una cultura de responsabilidad más madura. En el pasado, muchos protocolos, tras ser hackeados, atribuían toda la culpa a terceros o a configuraciones de usuarios. Ahora, algunos grandes protocolos están dispuestos a reconocer que sus propios diseños estructurales tienen fallas. Para toda la industria Web3, esto puede ser un cambio realmente importante y digno de atención.